网络安全指保护计算机系统、网络、应用和数据免受数字威胁、恶意攻击和未授权访问的实践,其中包括一系列旨在保护数字环境不受不断变化的网络风险影响的策略、技术和流程。
网络安全的目的是在面临网络威胁、软件漏洞和系统弱点时,确保敏感信息和技术资源的机密性、完整性和可用性。然而,要想在网络安全方面取得最大成效,就必须主动出击。防御性网络安全的重点不是在事件发生后作出响应,而是在漏洞和威胁出现之前就对其加以识别和应对。人们越来越清楚地认识到,只有在人工智能 (AI) 的帮助下,才能采取主动安全措施。正如不法行为者积极利用生成式人工智能等人工智能技术和应用来加强其攻击活动一样,防御者必须通过机器学习采取自动化保护措施,以便在网络犯罪分子和安全团队之间不断扩大的拉锯战中保持韧性。
在认识到威胁(和缓解措施)永远不会停止演变的同时,实现安全与韧性并存,以及有效平衡客户体验是积极网络安全模式的基准。
另一方面,在计算基础设施和数字资产周围筑起一道无法攻破的屏障(如严格的安全态势)本身并不是成功的网络安全策略。隐晦式安全同样也并非成功的网络安全策略。安全专业人员需要根据可能性和影响准确评估网络安全风险;也就是说,要考虑特定威胁利用特定漏洞的机会或概率,还要与利用漏洞后造成的影响或损害进行权衡。网络安全是一门复杂的学科,涉及到不断变化的威胁态势、广泛的攻击向量,以及平衡安全性和可用性的需求。
此外,随着各个组织进行数字化转型,安全对于业务的重要性也与日俱增,并在很大程度上从运营成本模型转变为业务推动因素和竞争优势。
由于恶意攻击者的新手段、新技术和新程序 (TTP) 层出不穷,网络安全威胁瞬息万变。不过,许多风险都是由以下既定形式的网络威胁演变而来,或者是结合了多种 TTP,可造成更大恶意影响的混合式攻击。
恶意软件指往往通过电子邮件或消息中的可点击链接进行传播,旨在感染系统并损害其安全性的恶意软件。常见的恶意软件类型包括病毒、蠕虫、木马、间谍软件以及日益猖獗的勒索软件。
勒索软件是一种加密系统数据的恶意软件,攻击者会劫持组织的数据,并要求付款(赎金)以解锁数据或提供解密密钥。
网络钓鱼是一种涉及欺骗性电子邮件或消息的攻击,诱骗个人泄露敏感信息,如密码、信用卡号或个人数据。
社会工程学攻击指利用行为或心理特征,欺骗受害者泄露保密资料,或采取有损安全性的行动或做出有损安全性的决定。网络钓鱼和社会工程学攻击往往会结合用来操纵受害者,并且可能极具针对性,例如在发送网络钓鱼电子邮件后再冒充可信人员(如银行或 IT 部门人员)致电。
分布式拒绝服务 (DDoS) 攻击会通过向目标资源发送大量流量,使其超载到无法运行的程度,从而降低基础设施的性能。也可以通过专门制作的信息发起拒绝服务 (DoS) 攻击,从而降低应用的性能;例如,通过会生成复杂 SQL 查询,导致 CPU 占用率提高和系统性能降低的 Web 请求发起攻击。DDoS 攻击涉及多个来源或僵尸网络,该网络由单个攻击者控制的遭入侵计算机或设备构成,攻击者会协调上述多个来源并针对目标发动攻击。
中间人 (MitM) 攻击指代攻击者在对方不知情或未经同意时拦截双方间通信的情况,攻击者可借此机会窃听对话、窃取信息,甚至操纵传输的数据。MitM 攻击可以通过多种方式发生:当攻击者窃取会话 Cookie 或令牌以模拟用户并获得对 Web 应用的未授权访问时,攻击者可能会在公共 Wi-Fi 网络中拦截无线通信,或者可能进行会话劫持。
内部威胁指组织内有权访问组织系统、数据或网络的个人所构成的安全风险。这些人可能是现任或前任员工、承包商、合作伙伴或任何拥有合法访问权限的人员。内部威胁可能是一种有意或无意的行为,可能导致各种类型的网络安全事件,包括破坏、数据盗窃、数据处理不当以及网络钓鱼或社会工程学攻击。
Web 应用攻击指针对 Web 应用、网站和 Web 服务的恶意活动,目的是利用漏洞并破坏上述目标的安全性。随着应用的现代化,以及许多传统 Web 应用因此在混合云和多云环境中向 API 型系统的演变,致使威胁面大幅扩大。
安全团队必须考虑与 Web 应用和 API 有关的许多风险,包括:
以下是与网络攻击相关的专业术语和概念的定义和说明。
零日攻击指利用尚未公开的软件漏洞或安全缺陷发动的网络攻击。此类攻击发生在软件供应商或开发人员有机会发布补丁或修复零日漏洞之前。零日攻击尤为危险,因为此类攻击针对的系统没有可用的补丁或潜在的权宜之计来抵御攻击,导致其可能缺乏缓解能力或对漏洞利用行为的深入了解。
高级持续性威胁 (APT) 指由拥有大量资源和专业知识的有组织网络犯罪团伙或民族国家行为者实施的复杂和长期的网络攻击,其目的通常为开展间谍活动、盗窃数据、实施破坏或传播错误信息,可能会导致全球动荡。APT 的特点是持续性和隐蔽性。此类攻击通常持续很长时间,主要目标是在未被发现的情况下持续对目标网络或系统进行未授权访问。APT 的生命周期可持续数年,以侦察和初步入侵为开始,一直发展到数据收集和泄漏。
日志管理:可存储和管理大量日志和事件数据,并针对此类数据提供索引、搜索和归档工具,使数据可用于分析和合规用途。
安全事件关联:可搜索来自多个来源的数据,以识别可能表明存在安全威胁的模式和异常情况。这种关联有助于区分正常活动和潜在的安全事件。
Threat Intelligence:一些 SIEM 系统通过集成第三方实时威胁反馈提供的威胁情报,以便作为系统识别已知威胁和入侵迹象 (IOC) 能力的补充,阻止新型攻击或检测新型攻击特征。
确保网络空间的安全颇具挑战性。不过,以下措施和最佳实践介绍了多种工具和策略的基本概况,可为制定和实施健全的网络安全计划和流程提供帮助。
身份验证和访问控制是网络安全的基本要素,有助于确保只有获得授权的用户才能访问系统、数据和资源。在这些领域实施最低权限原则和零信任安全等最佳实践对于保护敏感信息和维护组织数字环境的完整性至关重要。
身份验证和访问控制方法包括:
实施网络安全措施可防范包括网络攻击、数据泄露和未授权访问在内的各种威胁,从而帮助保护网络基础设施和数字资产。
网络安全措施包括:
防火墙。防火墙是网络安全的重要组成部分,可帮助组织保护其数字资源、维护数据隐私,以及抵御恶意软件、黑客攻击、拒绝服务攻击和未授权访问等各种网络威胁。防火墙通常部署在组织的内部网络与互联网之间等边界点,以便根据既定的安全规则或策略控制进出设备或网络的流量。然而,防火墙通常只会在用户浏览互联网时检查出站流量,缺乏代理和性能功能,无法充分保护 Web 应用和 API 的入站流量。防火墙可分为多种类型,包括:
入侵检测系统 (IDS):一种网络安全工具,用于分析和评估网络流量的完整性,从而识别已知的攻击模式、异常活动和未授权使用。检测到威胁时,该系统会向组织的安全专业人员发出警报,以便采取进一步行动。需要注意的是,鉴于入侵防御系统 (IPS) 在实时检测和执行方面所具备的优势,IDS 已不再流行;这在某种程度上是因为应用了高效的特征库。IDS 工具可分为两种类型:
虚拟专用网络 (VPN) 可在用户的远程设备和企业基础设施(通常位于不同的地理位置)之间建立安全的加密连接。当用户连接到 VPN 时,互联网流量将通过加密隧道传输,防止潜在的窃听者或黑客窃取,并掩盖用户的 IP 地址。由于没有解密密钥就无法读取所传输的数据,因此增强了在线隐私和安全性。
由于 VPN 本质上扩展了企业的网络边界,还允许用户在任何地方安全地访问企业应用,许多组织已将 VPN 纳入其安全策略。疫情期间,数百万居家办公的远程办公人员都需要通过互联网安全地连接到企业资源,VPN 因此变得至关重要。VPN 还常用于保护敏感信息、访问地区限制访问的内容以及在网上保持匿名状态
虽然 VPN 为在线活动提供了更高的安全性和私密性,但也无法摆脱安全挑战。由于用户通常通过远程端点设备启动 VPN 连接,这些端点既是接入点,也是攻击者的主要目标。要保护通信及端点所连接的基础设施,就必须在批准与企业网络的远程访问连接前确保端点的安全性。
要想降低 VPN 带来的安全风险,还必须针对用户和设备采取有力的身份验证控制措施。要确保使用强密码和多重身份验证方法来验证用户的身份,还要尽量为远程办公人员部署公司提供的加固设备,并配备客户端证书和端点保护。
云访问安全代理 (CASB) 和安全服务边缘 (SASE) 是基于云的安全要素。CASB 是位于企业云服务消费者和云提供商之间的安全策略执行点,用于在访问云资源时插入企业安全策略。CASB 解决方案提供了众多安全优势,使企业能够降低风险,在各种应用和设备之间执行身份验证和凭证映射等策略,防止敏感数据泄漏,并确保符合法规要求。
SSE 是一种网络和安全架构,可将多种基于云的安全服务和广域网 (WAN) 功能集成到一个云原生解决方案之中。SSE 用于在维护企业安全策略的同时,直接从云端提供全面的安全和网络服务,这使其成为了现代安全态势的重要组成部分。
CASB 和 SSE 是零信任框架的重要要素,而零信任框架强调“从不信任、始终验证”的原则。这意味着不应默认信任任何用户、设备或系统,无论其处于何处或采用何种网络连接。CASB 和 SSE 可为基于云的资源提供额外的可见性、控制和安全措施,从而强化零信任原则。CASB 和 SSE 解决方案还支持强认证和强身份验证,并支持根据用户角色和权限和设备可信度等环境因素实施精细访问控制,这些都是零信任原则的关键要素。
数据加密是现代网络安全的基本要素,用于保护各种场景(包括存储和传输)中的敏感信息。在加密过程中,算法使用加密密钥将常规数据或信息(“明文”)转换为代码或“密文”,以防止未授权访问或使用。如需逆转加密过程,并将密文转换回明文,接收者(或经授权的用户)必须拥有相应的解密密钥。这可以确保即使有人获得了加密数据的访问权限,在没有相应解密密钥的情况下,也无法读取或理解这些数据。
三种主要的加密形式分别为:
补丁管理在确保计算机系统、应用和网络的安全性与完整性方面发挥着至关重要的作用。制定具有明确程序和计划的策略可以帮助组织及时发现和应用更新,从而解决漏洞问题,减少攻击面,并最大限度地降低被网络犯罪分子利用的风险。发布的常见漏洞和暴露 (CVE) 的数量不断加速增长,预计到 2025 年,每周会发布 500 个新的 CVE,因此补丁管理的重要性与日俱增。
有效的补丁管理是一个持续的过程,包含以下策略:
制定并维护事件响应和恢复计划是网络安全策略的关键要素,可帮助组织针对网络攻击和漏洞做好准备、作出应对和迅速恢复。该策略应包含以下要素:
网络安全态势不断发展和适应新的威胁,迎接新的挑战。网络安全的新兴趋势不仅反映了不断变化的威胁态势,也反映了技术的重大进步。这些趋势包括:
许多合规要求和法规都规定了为保护敏感数据和抑制网络威胁组织和政府实体所必须遵守的网络安全标准。此外,隶属于美国国土安全部的网络安全和基础设施安全局 (CISA) 是国家网络安全信息中心,该机构运营着一个全天候的态势感知、分析和事件响应中心。CISA 制定了一项国家网络事件响应计划,该计划规定了私营部门实体、州和地方政府以及多个联邦机构应在网络安全事件应对方面发挥的作用。CISA 还提供事件响应培训,以提高基本的网络安全意识,并倡导最佳实践,从而帮助组织制定有效的应对措施,以防发生网络事件。该培训还倡导实施有助于从一开始就防止事件发生的策略。主要的合规要求和法规包括:
日益复杂的网络威胁凸显了通过持续提供安全培训和认证来跟上不断变化的威胁态势和获取必要专业技能的需求。事实上,IT 安全专业人员普遍短缺,各种学术机构和培训计划为数众多,却依然难以满足需求。网络安全是一个涵盖各个领域的复杂多学科领域,要求保持求知欲,要找到具备所有这些领域专业知识的专业人员非常困难。
最受推崇的网络安全认证可能是由国际信息系统安全认证联盟,简称 (ISC)²,颁发的注册信息系统安全专家 (CISSP) 认证。CISSP 认证是全球公认的信息安全专业人员衡量基准,要想通过此认证通常要求至少累计五年的工作经验,还要通过严格的考试。
另一个领先的网络安全培训和认证机构是 EC-Council,该机构为专业安全人员提供广泛的课程和培训,包括道德黑客认证。该计划专门教授如何使用恶意黑客的技术测试计算机系统、网络和应用的安全性。道德黑客可以通过在网络犯罪分子利用漏洞之前识别漏洞,帮助保护敏感信息和关键基础设施免受网络攻击。
计算机技术行业协会 (CompTIA) 是另一个领先的网络安全培训和认证机构。CompTIA 的 Security+ 认证是一项全球性认证,其验证的是执行核心安全功能所需的基本技能,通过认证即可从事 IT安全职业。
了解网络安全威胁以及减轻威胁的最佳实践,对于保护您组织的敏感信息、关键资产和基础设施至关重要。了解相关知识就能够采取积极措施,防范此类威胁和攻击,还能制定有效的风险管理和事件响应计划,让您的组织能够快速、有效地应对意外事件。这可以显著降低网络安全事件的影响,加快恢复过程。
F5 提供了一套全面的网络安全产品,可为应用、API 及其所支持的数字服务提供强大防护。这些解决方案(包括 WAF、API 安全、Bot 防御和 DDoS 缓解)可跨架构、云和生态系统集成保护应用和 API,从而在加快数字化转型和降低应用安全总成本的同时,降低风险和操作复杂性。我们的安全解决方案不仅适用于您现有数据中心、云、边缘和架构中的传统和现代应用,还适用于未来将为您的组织提供支持的传统和现代应用。