网络安全是网络安全中的一个领域,它专注于保护计算机网络和系统免受内外部的网络威胁和网络攻击。
计算机网络安全有三个主要目标:防止对网络资源未经授权的访问;检测并阻止正在进行的网络攻击和安全漏洞;并确保授权用户在需要时能够安全地访问他们所需的网络资源。
随着网络规模和复杂性的增加,网络攻击的风险也在上升。例如,根据 IBM 的《2023 年数据泄露成本》报告,组织经历的 82% 的数据泄露(一种导致未经授权访问敏感或机密信息的安全漏洞)涉及存储在云端的数据。这些攻击代价高昂:全球数据泄露的平均成本为 445 万美元,而美国数据泄露的平均成本是这一数字的两倍多,达到 948 万美元。
计算机网络安全可保护网络基础架构、资源和流量的完整性,阻止这些攻击并最大程度地减少对财务和运营的影响。
根据 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地准备和应对网络攻击。
注册获取《数据泄露成本报告》
计算机网络安全系统在两个层面上工作:在外围和网络内部。
在外围,安全控制措施试图阻止网络威胁进入网络。但网络攻击者有时会突破网络,因此 IT 安全团队也会对网络内的资源(如笔记本电脑和数据)进行控制。即使攻击者进入了网络,他们也不能肆意妄为。这种在黑客与潜在漏洞之间建立多重分层控制的策略被称为“纵深防御”。
要建立计算机网络安全系统,安全团队需要结合使用以下工具:
防火墙是一种软件或硬件,可以阻止可疑流量进入或离开网络,同时允许合法流量通过。防火墙可以部署在网络边缘,也可以在内部使用,将较大的网络划分为较小的子网。如果网络的一部分被入侵,仍会切断黑客与其他部分的联系。
不同类型的防火墙具有不同的功能。基本防火墙使用包过滤功能来检查流量。更先进的下一代防火墙 (NGFW) 添加了入侵防御、AI 和机器学习、应用程序感知和控制以及威胁情报源,以提供额外的保护。
网络访问控制解决方案如同守门员,它可对用户进行身份验证和授权,以确定谁可以进入网络以及他们在网络中可以做什么。“身份验证”是指验证用户是否是他们声称的身份。此外,它还表示会向经过身份验证的用户授予访问网络资源的权限。
NAC 解决方案通常用于实施基于角色的访问控制 (RBAC) 策略,其中用户的权限基于其工作职能。例如,初级开发人员或许能查看和编辑代码,但无法实时推送代码。相比之下,高级开发人员可读取、编写代码并将其推送到生产环境。RBAC 通过让未经授权的用户远离他们无权访问的资产来帮助防止数据泄露。
除了对用户进行身份验证之外,一些 NAC 解决方案还可以对用户端点进行风险评估。这样做的目的是防止不安全或被入侵的设备访问网络。如果用户试图使用反恶意软件已过时或配置不正确的设备进入网络,NAC 将拒绝其访问。一些高级 NAC 工具可以自动修复不合规的端点。
入侵检测和防御系统 (IDPS)(有时被称为“入侵防御系统)可直接部署在防火墙后方,以扫描传入流量是否存在安全威胁。这些安全工具是从入侵检测系统发展而来的,而入侵检测系统只标记可疑活动以供审查。IDPS 还能够自动应对可能出现的漏洞,如阻止流量或重置连接。在检测和阻止暴力攻击和拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击方面,IDPS 尤其有效。
虚拟专用网络 (VPN) 通过加密数据并遮蔽其 IP 地址和位置来保护用户的身份。当有人使用 VPN 时,他们不再直接连接到互联网,而是连接到一个安全服务器,由安全服务器代表他们连接到互联网。
VPN 可以帮助远程工作人员安全地访问公司网络,即使是通过咖啡店和机场等不安全的公共 Wi-Fi 连接。VPN 对用户的流量进行加密,确保其安全,防止黑客拦截其通信。
某些组织使用零信任网络访问 (ZTNA),而不是 VPN。ZTNA 不使用代理服务器,而是使用零信任访问控制策略来安全连接远程用户。远程用户通过 ZTNA 登录网络时,并不能访问整个网络。而是只能访问他们获准使用的特定资产,并且每次访问新资源时都必须重新验证。
应用程序安全是指安全团队为保护应用程序和应用程序编程接口 (API) 免受网络攻击而采取的措施。由于当今许多公司都使用应用程序来执行关键业务功能或处理敏感数据,因此应用程序是网络罪犯的常见目标。而且由于如此多的商业应用程序托管在公有云中,黑客可以利用它们的漏洞侵入公司专用网络。
应用程序安全措施可保护应用程序免受恶意参与者的侵害。常见的应用程序安全工具包括 Web 应用程序防火墙、运行时应用程序自我保护、静态应用程序安全测试和动态应用程序安全测试。
IBM Security X-Force Threat Intelligence 指数发现,网络钓鱼是最常见的初始网络攻击媒介。电子邮件安全工具可以帮助阻止网络钓鱼攻击和其他危害用户电子邮件帐户的尝试。大多数电子邮件服务都有内置的安全工具,例如垃圾邮件过滤器和消息加密。某些电子邮件安全工具附带沙盒功能,而在此类隔离环境中,安全团队可检查电子邮件附件中是否存在恶意软件,而不会暴露网络。
虽然以下工具严格来说并不是网络安全工具,但网络管理员经常使用它们来保护网络上的区域和资产。
数据丢失预防 (DLP)
数据丢失预防是指确保敏感数据既不会失窃也不会意外泄露的信息安全策略和工具。DLP 包括数据安全策略和专门构建的技术,而它们可用于跟踪数据流、加密敏感信息并在检测到可疑活动时发出警报。
端点安全
端点安全解决方案可保护连接到网络的任意设备(例如笔记本电脑、台式机、服务器、移动设备或 IoT 设备),从而防止黑客试图利用它们潜入网络。防病毒软件可在设备上的特洛伊木马、间谍软件和其他恶意软件传播到网络的其余部分之前对其进行检测和销毁。
端点检测和响应解决方案是更为高级的工具,它们可监控端点行为并自动响应安全事件。统一终端管理软件有助于公司通过单个控制台来监控、管理和保护所有最终用户设备。
Web 安全
Web 安全解决方案(如安全网络网关)可阻止恶意互联网流量,并防止用户连接到可疑网站和应用程序。
网络分段
网络分段是一种通过物理方式或通过软件将大型网络分解成较小子网的方法。网络分段可通过将遭入侵的子网与网络的其余部分隔离开来,从而限制勒索软件和其他恶意软件的传播。此外,分段还有助于让合法用户远离他们不应访问的资产。
云安全
云安全解决方案可保护数据中心、应用程序和其他云资产免受网络攻击。大多数云安全解决方案只是应用于云环境的标准网络安全措施,例如防火墙、NAC 和 VPN。很多云服务提供商会将安全控制措施构建到其服务中或作为附加组件提供。
用户和实体行为分析 (UEBA)
传统的公司网络是集中式的,其中的关键端点、数据和应用程序均位于本地。传统的网络安全系统专注于防止威胁突破网络边界。用户一旦进入,就会被视为值得信赖,并被授予几乎不受限制的访问权限。
但是,随着组织追求数字化转型并采用混合云环境,网络正在变得去中心化。现在,网络资源跨云数据中心、现场和远程端点以及移动和物联网设备存在。
基于外围的安全控制在分布式网络中效果较差,因此很多 IT 安全团队正在转向零信任网络安全框架。零信任网络安全并不关注外围,而是围绕单个资源进行安全控制。用户永远不会被绝对信任。用户每次尝试访问资源时,都必须经过身份验证并获得授权,而无论他们是否已在公司网络上。经过身份验证的用户仅被授予最低访问权限,一旦任务完成,他们的权限就会被撤消。
零信任网络安全依赖于精细的访问策略、持续验证以及从尽可能多的来源收集的数据(包括上述很多工具),从而确保只有正确的用户才能在正确的时间以正确的理由访问正确的资源。
虽然纵深防御方法可以保护公司的网络,但这也意味着 IT 安全团队必须管理许多单独的安全控制措施。通过集成不同的安全工具并允许安全团队从单个控制台监控整个网络,企业网络安全平台可以帮助简化网络安全管理。常见的网络安全平台包括
- 安全信息与事件管理 (SIEM)
- 安全编排、自动化和响应 (SOAR)
- 网络检测和响应 (NDR)
- 扩展检测和响应 (XDR)