席德(Xiid)公司首席技术官费德里科·西蒙内蒂(Federico Simonetti)是一位安全专家,拥有道德黑客、执法和学术背景。
安全意识的局限性
长期以来,网络安全意识月主要通过海报、钓鱼模拟演练和PPT演示等形式开展。然而,十年来的安全事件表明,仅有安全意识并不足以确保网络安全。
作为安全技术领导者,我们都清楚地认识到这一点。数据泄露事件持续增加,人工智能的发展使攻击者能够快速调整攻击策略,超越了传统安全培训的应对能力。
确定性控制的重要性
仅靠提高团队安全意识并不是有效的防御策略。我们需要在架构层面重新设计安全体系,将安全意识作为辅助特性而非核心支柱。
传统安全项目主要依赖于不确定性控制,期望用户能识别钓鱼邮件或监控系统能及时发现入侵。相比之下,确定性控制通过系统设计从根本上阻止安全威胁。例如,一个完全隔离的系统进程能有效阻止恶意软件的横向移动。
全面防护的实施策略
应用程序防护:
- 将关键应用移出开放网络
- 避免直接访问和端口扫描
- 消除静态互联网端点
身份认证加强:
- 取消静态凭证
- 实施零知识认证(Zero-Knowledge Authentication)
- 避免凭证在网络传输
数据安全保护:
- 实施微隔离
- 限制进程级别的访问权限
- 降低单点失效的影响范围
持续改进与实施
虽然安全意识培训仍然必要,但我们必须做好最坏的准备。设计安全架构时,要假设每个用户都可能点击钓鱼链接,每个开发人员都可能泄露令牌。优秀的架构应该能够将安全事故的影响控制在最小范围内。
通过四周的循序渐进:
- 全面审计外部可访问资源
- 关闭非必要端口,实施无凭证认证
- 部署微隔离机制
- 完善策略监控和应急响应