2013年11月6日 星期三

CISSP領域重要名詞釋疑 - Defense-of-Depth (縱深防禦)


Defense-of-Depth (縱深防禦)
縱深防禦(也被稱為層級防禦)套用在多層的安全閘(也被稱為控制:意指降低風險)去保護一項資產。任何一個安全性控制如果失敗:藉由佈屬多層控制,你可以增強其保密性、完整性與你的資料可用性。

LEARN BY EXAPMLE: DEFFEN-IN-DEPTH MALWARE PROTECTION
一間擁有一萬兩千名員工的公司在一天內收到二十五萬封電子郵件。其中絕大多數的電子郵件均有巨集:在一段時間內浪費資源的垃圾郵件,具有惡意軟體例如蠕蟲或是病毒。攻擊者策略改變的非常頻繁,總是嘗試逃避安全閘讓垃圾郵件與惡意軟體通過。

公司部屬了縱深防禦控制,預防網際網路以電子郵件為基礎的惡意軟體。有一組UNIX的電子郵件伺服器過濾了由網際網路進來的電子郵件,皆被執行了兩種不同的會自動更新的防毒軟體/防惡意軟體解決方案,藉由不同的主要供應商。電子郵件被掃描乾淨後轉送至內部的Microsoft Exchange Mail Server,它們會執行其他供應商的防毒軟體。郵件經過掃描後會到達使用者端,這裡會進行第四次的供應商防毒軟體掃描作業。用戶端的桌機或是筆電同樣會進行完全修補作業。

儘管有了這些防護,一些低比例的惡意軟體仍成功迴避四個不同的防毒檢測,並且感染使用者的系統。幸運的是,這間公司部屬了額外的縱深防禦控制,例如:入侵檢測系統(Intrusion Detection System, IDS),災害處理政策,和電腦事故緊急處理小組(Computer Incident Response Team)去掌控災害。這些防禦措施,成功的識別受感染的用戶系統。

所有的控制都有可能會失敗,有時數個控制會同時失敗。佈屬不同深度的防禦控制,當所有控制失敗的時候對於您的組織會有較小的影響機會。