網(wǎng)絡(luò)安全五大誤區(qū)，你了解嗎？

盡管安全問(wèn)題老生常談，但一些普遍存在的誤區(qū)仍然可能讓企業(yè)隨時(shí)陷入危險(xiǎn)境地。為了有效應(yīng)對(duì)當(dāng)前層出不窮且不斷變換的網(wǎng)絡(luò)威脅，最大程度規(guī)避潛在風(fēng)險(xiǎn)，深入了解網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)必不可少。即使部署了最新且最先進(jìn)的硬件和解決方案并嚴(yán)格遵守行業(yè)標(biāo)準(zhǔn)，也不足以100%確保網(wǎng)絡(luò)安全，而且暫時(shí)沒(méi)有受到攻擊也并不代表安全措施就固若金湯。

誤區(qū)一：大公司才是勒索軟件攻擊的目標(biāo)

事實(shí)上，小型企業(yè)也難逃攻擊者的“魔爪”。有報(bào)告指出，82%的勒索軟件攻擊以小型企業(yè)為目標(biāo)，雇員少于一千人的企業(yè)面臨的風(fēng)險(xiǎn)最大。主要原因是，攻擊大企業(yè)容易引起執(zhí)法部門(mén)和媒體的關(guān)注，使犯罪分子付出更大的代價(jià)，因此他們逐漸將目標(biāo)轉(zhuǎn)向那些有能力支付贖金卻又不會(huì)引起矚目的小型企業(yè)。

【資料圖】

誤區(qū)二：安全、性能和敏捷性無(wú)法兼顧

沒(méi)有企業(yè)愿意為了網(wǎng)絡(luò)安全犧牲性能和敏捷性。尤其是現(xiàn)在，它們需要支持遠(yuǎn)程辦公的員工，并日益依賴(lài)物聯(lián)網(wǎng)，靈活性變得比以往任何時(shí)候都更加重要。

安全服務(wù)訪問(wèn)邊界（SASE）是一種新型安全架構(gòu)，可以提供現(xiàn)代企業(yè)所需的敏捷性。SASE的優(yōu)勢(shì)之一是能夠整合和簡(jiǎn)化安全管理流程，將全部網(wǎng)絡(luò)和安全功能匯總到一起，讓網(wǎng)絡(luò)安全變得更加簡(jiǎn)單和輕松，幫助實(shí)現(xiàn)業(yè)務(wù)敏捷性而非造成妨礙。

除此以外，SASE還能通過(guò)最大程度減少延遲來(lái)優(yōu)化性能，從而改善用戶(hù)體驗(yàn)。它還能避免傳統(tǒng)的回傳流量問(wèn)題，提升了效率；并且具有彈性擴(kuò)展性能，使適應(yīng)流量波動(dòng)變得更加簡(jiǎn)單和輕松。通過(guò)這些改進(jìn)，企業(yè)的網(wǎng)絡(luò)可以自由發(fā)揮出最大性能。

誤區(qū)三：網(wǎng)絡(luò)威脅主要來(lái)自外部

多數(shù)安全團(tuán)隊(duì)基本都能做好外圍安全保護(hù)和松散終端加固，但卻有可能疏漏用戶(hù)本身。因此，企業(yè)面臨的最大安全威脅往往不是來(lái)自外部，而是內(nèi)部。

從網(wǎng)絡(luò)釣魚(yú)到惡意軟件和社交工程，攻擊者欺騙用戶(hù)的手段繁多。無(wú)論重設(shè)多少次密碼，用戶(hù)都可能陷入各種各樣的花式騙局。這與日益增強(qiáng)的外圍安全形成鮮明對(duì)比，也難怪攻擊者會(huì)對(duì)用戶(hù)虎視眈眈。

數(shù)據(jù)泄露來(lái)自于安全功能允許的連接，因此安全部門(mén)不能假設(shè)內(nèi)部用戶(hù)的安全性，而是要默認(rèn)惡意內(nèi)容和用戶(hù)可能會(huì)進(jìn)入獲得授權(quán)的連接，持續(xù)對(duì)所有用戶(hù)進(jìn)行驗(yàn)證和展開(kāi)威脅檢查，在損失產(chǎn)生前抓住攻擊者。這是“零信任”策略的第一步，該策略通過(guò)消除隱含信任和持續(xù)驗(yàn)證數(shù)字互動(dòng)中的每個(gè)階段來(lái)保護(hù)企業(yè)的網(wǎng)絡(luò)安全。

誤區(qū)四：防火墻和基于防火墻的安全功能無(wú)法在云端提供保護(hù)

提到“防火墻”，有人依然會(huì)聯(lián)想到在企業(yè)本地網(wǎng)絡(luò)中部署和管理復(fù)雜的實(shí)體或虛擬設(shè)備，但這其實(shí)是一種誤解。“防火墻”指的是基于策略的網(wǎng)絡(luò)工具的功能或輸出，決定了對(duì)流量是允許還是拒絕，這是任何安全堆棧的基礎(chǔ)。

事實(shí)上，“防火墻”無(wú)處不在。它存在于云端、本地、應(yīng)用，甚至設(shè)備中。只是多數(shù)時(shí)候我們并不稱(chēng)它們?yōu)椤胺阑饓Α?，而是“訪問(wèn)控制列表”“安全組”“可用區(qū)域”或“基于策略的轉(zhuǎn)發(fā)”。我們的重點(diǎn)應(yīng)該從防火墻的形式（如實(shí)體或虛擬設(shè)備）轉(zhuǎn)向如何通過(guò)“防火墻”功能有效達(dá)到預(yù)期結(jié)果，同時(shí)提高敏捷性并降低復(fù)雜性。

無(wú)論是哪種稱(chēng)呼，防火墻的功能都是放行想要的流量并阻止不想要的流量。我們可以在本地、云中、云端、設(shè)備等任何地方使用這項(xiàng)功能，在企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、私有云、公有云以及其他任何應(yīng)用和數(shù)據(jù)所在的地方擴(kuò)展一套連貫的策略。因此，防火墻對(duì)于混合環(huán)境的安全極其重要，它使企業(yè)重獲可見(jiàn)性和控制力，在提高安全性的同時(shí)適應(yīng)不斷變化的業(yè)務(wù)終端用戶(hù)的需求。

誤區(qū)五：所有零信任網(wǎng)絡(luò)訪問(wèn)解決方案都是相同的

零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）是將零信任原則應(yīng)用于網(wǎng)絡(luò)訪問(wèn)。然而，通常實(shí)施的ZTNA 1.0只解決了直接從應(yīng)用端訪問(wèn)時(shí)遇到的一些問(wèn)題。例如在ZTNA 1.0中，一旦授權(quán)，信任代理程序就會(huì)消失，用戶(hù)就能自由行動(dòng)。但這實(shí)際上只是在某個(gè)時(shí)間點(diǎn)對(duì)用戶(hù)進(jìn)行了一次檢查。一旦訪問(wèn)獲得授權(quán)，用戶(hù)將被永遠(yuǎn)信任。持續(xù)驗(yàn)證的缺席會(huì)導(dǎo)致企業(yè)無(wú)法判斷應(yīng)用是否暴露于危險(xiǎn)之中。

換言之，這種方法無(wú)法阻止發(fā)生在允許連接上的攻擊，但其實(shí)所有攻擊都發(fā)生在這里。另外，標(biāo)準(zhǔn)的ZTNA違反了最小權(quán)限原則——它既不提供安全檢查，亦無(wú)法保護(hù)全部應(yīng)用和數(shù)據(jù)。

所幸ZTNA 2.0克服了這些缺陷，大大提升了安全性。ZTNA 2.0不是一次性授權(quán)，而是根據(jù)應(yīng)用和用戶(hù)行為以及設(shè)備狀態(tài)的變化，不斷重新評(píng)估信任。即使一個(gè)用戶(hù)遭遇入侵，也能在造成損害前迅速刪除其訪問(wèn)和權(quán)限。ZTNA 2.0還增加了真正的最小權(quán)限訪問(wèn)、持續(xù)安全檢查、保護(hù)全部數(shù)據(jù)和應(yīng)用。

關(guān)鍵詞：

責(zé)任編輯：Rex_15