国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　銀行保險(xiǎn)箱可以呵護(hù)你的珍貴物品，那你為甚么不建一個(gè)超安然收集來(lái)呵護(hù)你的首要數(shù)據(jù)呢?并且這一點(diǎn)都不難。

　　若何抵抗高級(jí)延續(xù)威脅呢？筆者的建議是：做更好的補(bǔ)丁修復(fù)和利用白名單。經(jīng)由過(guò)程這兩種編制，大年夜大都可以削減99%的歹意報(bào)復(fù)打擊風(fēng)險(xiǎn)。

　　可是很少有企業(yè)如許做，大年夜大都企業(yè)都專注于其他事物上。例如，他們打算成立一個(gè)高度安然的收集。

　　他們是如許做的：起首清算所有辦事，肯定哪些辦事是最首要的，然后盡全力呵護(hù)這些資產(chǎn)。這些資產(chǎn)包含關(guān)頭任務(wù)型利用法度或辦事，撐持它們(Active Directory、DNS、用戶賬戶、辦事賬戶、收集設(shè)備等)的辦事器和根本舉措措施，和連接到這些利用法度或辦事的所有工作站。

　　這類編制的關(guān)頭在于以較高程度呵護(hù)關(guān)頭資產(chǎn)。標(biāo)題問(wèn)題是若何實(shí)現(xiàn)這一點(diǎn)，和我們需要成立多少如許的收集。

　　對(duì)大年夜大都APT報(bào)復(fù)打擊，報(bào)復(fù)打擊者會(huì)粉碎Active Directory域節(jié)制器，獲得所有暗碼哈希，然后利用傳遞哈希東西來(lái)獲得收集的完全節(jié)制權(quán)。大年夜大都企業(yè)想要成立一個(gè)或多個(gè)自力的額外的收集，如許單個(gè)域節(jié)制器遭到報(bào)復(fù)打擊而不會(huì)威脅所有企業(yè)資產(chǎn)。

　　此刻進(jìn)進(jìn)高度安然區(qū)域

　　這類自力的高度安然的收集其實(shí)不是新穎事物，良多公司起碼都有一個(gè)如許的收集，每個(gè)戎行都有多個(gè)高度安然的收集。在過(guò)往二十年中，大年夜大都企業(yè)都在想編制整合多個(gè)收集到更少的收集，來(lái)降落成本和治理開消。新的APT趨勢(shì)(APT已滲入企業(yè)五到十年之久)正在讓企業(yè)高管從頭考慮之前的整合趨勢(shì)。

　　這是一個(gè)功德情。在域治理員組不設(shè)置任何永久性成員，這是成功的躲過(guò)哈希報(bào)復(fù)打擊的先決前提。但假定你不克不及做到這一點(diǎn)，你可以成立多個(gè)安然域來(lái)降落風(fēng)險(xiǎn)。

　　假定你的公司正在考慮增加更多收集，你必需先肯定你需要多少個(gè)安然域。良多公司決定成立一個(gè)新的單一的高度安然的收集，并把所有關(guān)頭任務(wù)型辦事器放在里面。筆者很喜好這類模式，因?yàn)槟憧梢曰蛟S獲得更多的安然性，同時(shí)削減因治理太多收集的開消。整體思路是，假定你的所有關(guān)頭任務(wù)辦事器都是關(guān)頭任務(wù)型辦事器，它們應(yīng)當(dāng)擺設(shè)不異的安然策略，并且在統(tǒng)一安然域中治理。

　　假定你決定只成立一個(gè)新的超安然收集，你必需確保報(bào)復(fù)打擊者之前的報(bào)復(fù)打擊編制不克不及進(jìn)侵這個(gè)收集。不然，成立這類收集將沒(méi)有任何意義。為了獲得最大年夜的安然性，你可以擺設(shè)物理隔離的收集，并且不連接到互聯(lián)網(wǎng)。

　　大年夜大都公司可能想要高度安然的自力的收集，但他們承擔(dān)不起運(yùn)行伶仃電纜或無(wú)線接進(jìn)點(diǎn)的成本和精力。一個(gè)很好的編制是利用自力的VLAN，當(dāng)然VLAN隔離可能被報(bào)復(fù)打擊，但在實(shí)際世界中這很少產(chǎn)生。

　　 你想要如何的自力程度？

　　假定你想要成立一個(gè)或多個(gè)新的自力的收集，另外一個(gè)大年夜標(biāo)題問(wèn)題是你將若何建設(shè)和打消建設(shè)用戶、設(shè)備和其他資本。

　　對(duì)單個(gè)收集，建設(shè)凡是被標(biāo)識(shí)表記標(biāo)幟為人力資本系統(tǒng)。當(dāng)一名員工被禮聘時(shí)，這會(huì)觸及添加這名新員工的用戶帳號(hào)到域的手動(dòng)或主動(dòng)過(guò)程。假定這個(gè)過(guò)程是主動(dòng)化的，信賴根系統(tǒng)應(yīng)當(dāng)位于哪里？

　　例如，假定你把你的信賴根系統(tǒng)放在本來(lái)收集(可能已承遭到傳染)，它可否建設(shè)辦事到新的高度安然的收集？這安然嗎？謎底是不是定的。你可以信賴從較高完全性和保障的系統(tǒng)供給數(shù)據(jù)到低完全性的系統(tǒng)，但反過(guò)來(lái)就不可了。

　　在實(shí)際中，大年夜大都企業(yè)沒(méi)有選擇。不外，他們有兩個(gè)次優(yōu)的選擇：他們要么承諾不受信賴的根系統(tǒng)來(lái)建設(shè)新收集—這可能遭到報(bào)復(fù)打擊，要么他們?yōu)槊總€(gè)新的收集擺設(shè)新的根系統(tǒng)，這很是昂貴并且難以保持。

　　事實(shí)上，每個(gè)額外的收集都需要做出如許的決定。新收集是利用來(lái)自現(xiàn)有收集的一個(gè)仍是多個(gè)辦事，仍是只能完全依托于新的辦事？運(yùn)行任何收集必需的辦事包含建設(shè)、辦事臺(tái)、安然、事務(wù)響應(yīng)、審計(jì)、PKI、電子郵件、打印等。

　　在肯定了哪些來(lái)自現(xiàn)有收集的辦事需要用于新收集后，大年夜大都企業(yè)可能會(huì)考慮增加新的組，但隨后他們會(huì)心識(shí)到成立真正自力的收集比想像中更堅(jiān)苦。

　　 實(shí)際世界報(bào)復(fù)打擊

　　一般來(lái)講，企業(yè)最終會(huì)成立一種模式，此中共享辦事要么保留在現(xiàn)有安然域名中，要么位于這個(gè)自力的新收集中，與所有其他收集共享。他們還可能成立一個(gè)同化的收集：一些收集具有共享辦事，而另外一些收集則沒(méi)有。

　　筆者只看到了少數(shù)公司決定在每個(gè)新收集復(fù)制辦事?？偠灾?，這類決定其實(shí)不等閑，這是IT部門需要做出的最艱巨的決定之一。

　　是不是擺設(shè)一個(gè)或多個(gè)新收集域名，這取決于每個(gè)公司，及其文化和風(fēng)險(xiǎn)承受能力。這個(gè)標(biāo)題問(wèn)題并沒(méi)有尺度謎底。從你本身的企業(yè)的需求來(lái)考慮這個(gè)標(biāo)題問(wèn)題，細(xì)心衡量利與弊。你也能夠選擇過(guò)后再更改設(shè)計(jì)。事實(shí)上，從最初的測(cè)驗(yàn)測(cè)驗(yàn)中你可以得出經(jīng)驗(yàn)教訓(xùn)來(lái)做出恰當(dāng)?shù)狞c(diǎn)竄。

　　假定你問(wèn)筆者，你不想花所有時(shí)候來(lái)成立超等安然的收集，而是專注于企業(yè)可能遭到報(bào)復(fù)打擊的虧弱環(huán)節(jié)，并且加強(qiáng)防御來(lái)抵抗報(bào)復(fù)打擊。如許，你將真正呵護(hù)你的企業(yè)。

　　事實(shí)，創(chuàng)作發(fā)現(xiàn)一個(gè)安然的收集需要大年夜量的時(shí)候和精力，你需要大年夜量的反復(fù)勞動(dòng)。為甚么不將這些時(shí)候和精力用來(lái)加強(qiáng)現(xiàn)有收集的防御呢？