当你无法消除网络攻击，那么就专注消除影响

最近，我开始怀疑网络攻击所带来的最大风险是否是：我们对它们变得不再敏感。毕竟，企业每11秒就会遇到勒索软件攻击，而且其中大多数是公众从未听说过的。面对这一现实，似乎你做的所有保护企业的努力都是徒劳的。但这恰恰就是加强你的决心并改变你的网络防御策略的更多理由。这种策略的核心是“减少攻击的爆炸半径”的概念。由于您无法完全消除网络攻击，因此您需要采取措施来控制影响。

那么就让我们回顾一下这个策略中的一些元素，从一些您应该已经做的基本阻塞和解决开始。如果您不是，请将此视为您的警钟！

零信任远程访问

随着无处不在的远程访问的出现，每台笔记本电脑、手机和平板电脑都已成为寻求访问公司网络的恶意软件的潜在威胁载体。如果具有寻求访问权限的“受信任”设备被感染，那么即使是虚拟专用网络（VPN）也无法解决这个问题。您需要一种零信任方法来远程访问。

零信任确保根据“极简特权”原则严格控制对公司系统的所有访问，用验证取代隐性信任。在最强大的Zero Trust实现中，访问请求被发送到反向代理，该代理应用基于策略的安全控制，然后再向远程设备发送虚拟化版本的连接。这有效地消除了与公司网络的任何物理连接——将其与潜在的恶意软件“爆炸”隔离开来。

检查交通

当第三方公司检查公司网络活动时，会有大量数据从受损的设备传输到外国服务器时，这通常会发现数据泄露，而受害组织没有检测到。恐慌随之而来。

为了尽量减少这种风险，需要您密切、持续地关注被动信号，无论是离开公司网络还是来自远程用户的家庭网络。这涉及通过递归DNS检查或通过安全的网络网关拦截和检查这些信号，以检测潜在的攻击来源，并及时遏制它们以避免灾难。

这还不够

你需要做好上述的这些事情——但做完这些这还远远不够。糟糕的网络行为者会不断探索你防御系统上的弱点和裂缝。因为风险迟早都会发生。那么，一旦恶意软件进入系统内部，您该如何减轻攻击带来的影响？

这个问题的答案是网络分割。网络分割将设备和工作负载划分为逻辑部分，采取的策略就是在它们之间提供访问控制。正如船上的水密舱壁防止船体泄漏导致船只沉没一样。分割防止恶意软件在您的网络中横向移动，防止其访问关键资产。

细分是一个成熟的安全概念。但是，与任何技术解决方案一样，这完全取决于其实施方式。采用基于硬件的细分方法有缺点。今天的IT环境在不断变化和演变。但防火墙设备和VLAN等传统基于硬件的细分工具不会轻易改变。管理哪些设备可以相互通信的政策可能会变得陈旧，以妨碍业务敏捷性的方式限制访问。当这种情况发生时，人性可以接管，寻求绕过控制的方法——击败分割的整个目的。

此外，基于硬件的工具不容易扩展，因此很难跟上增长的步伐。这可能会产生容易忽视的漏洞。需要的是更智能、更动态的细分方法。

基于软件的微细分

但是基于软件定义模型的微细分克服了这些缺点。软件没有使用基础设施进行分割，而是创建一个跨数据中心和云环境的分割覆盖层来管理所有分割策略。这提供了更大的灵活性、精度和扩展，同时即使在硬件环境不断发展的情况下也能保持有效的细分。

基于软件的微细分还提供了更高程度的可见性，使您能够轻松看到哪些系统或设备正在相互交谈。这超出了静态策略审计的范围，静态策略审计只显示权限，而不是实际观察到的活动。通过提供所有本地和云环境中活动的清晰视图，基于软件的微细分可以实现持续监控。这种观点可以直观地呈现，使管理非常直观。

这使得绘制实体之间的关系、依赖项和流量变得容易。然后，您可以通过从策略库中进行选择来轻松实现策略。政策可以非常精细并且可以根据实际情况作出改变，如果需要，它可以达到针对单个流程和用户的级别。 

敏捷性和一致性

基于软件的微细分提供了优势，使其更适合现实世界，因为现实世界的环境是动态的，不断演变。其策略是在通信设备的网络堆栈级别定义的。这确保了即使在基础设施发生变化时，该政策也会得到执行。

能够通过实时和历史视图轻松发现和可视化设备之间的关系，也提供了宝贵的见解，有助于为如何分割网络以有效保护关键资产的决策提供信息。

根据公司标准，基于软件的细分方法还有助于确保整个基础设施的一致安全态势，包括本地、云和混合资源。有了适用于整个细分环境的“单一玻璃窗格”，您可以获得所需的信息，以便随着情况发生变化而快速评估和更新政策。

减少攻击面

管理勒索软件和其他网络攻击的冲击需要一种多维度的方法——这种方法假设尽管您努力防止漏洞，但最终仍会发生漏洞。那么与其他零信任策略一起，基于软件的微细分提供了减少攻击面的解决方案，以及跟上持续变化的灵活性和准确性。其结果是更具弹性的基础设施，管理复杂性较低。

面对网络攻击行为是数字企业生活中的现实。但是你可以通过遏制此类行为来减少攻击所导致的影响，以此挽救局面。