邊界防護
偵測、阻擋、更正任何流經不同的網路信任層級的資料流~聚焦於具有資安破壞的資料(Security-Damaging Data)。

為什麼這是關鍵控制項目?
攻擊者聚焦於利用他們可以通過網路存取的系統,不僅包括DMZ系統,還包括通過網路邊界從網際網路上拉取內容的工作站與筆記型電腦。來自有組織犯罪集團與國家等的威脅利用使用邊界系統;網路設備與存取Internet的用戶端電腦上的組態設定與架構的弱點來獲得對組織的初始存取權限。然後通過這些設備上的操作基礎,攻擊者經常轉向更深入到邊界內以竊取或更改資訊,或者為以後針對內部主機的攻擊設置持久存在。此外許多攻擊發生在業務合作夥伴網路(有時稱為EXTRANETS)之間,因為攻擊者利用EXTRANETS周邊易受攻擊的系統從一個組織的網路跳到另一個網路。

經由控制通過網路邊界的流量並管轄內容來尋找攻擊與受攻擊設備的證據,邊界防禦應該是多層的,依賴於防火牆;PROXIES;DMZ外圍網路以及基於網路的IPS和IDS。過濾進入和出去流量也很重要。

應該注意的是內部和外部網路之間的邊界線由於組織內部以及組織之間的互聯性增加;無線技術部署的迅速增加而逐漸消失。這些模糊的界線有時容許攻擊者繞過邊界系統同時進入內部網路。然而即使邊界模糊,有效的安全部署仍然仰賴於精心配置的邊界防禦,這些邊界防禦將具有不同威脅等級的網路;用戶群;數據與控制級別分開。儘管內部和外部網路界限模糊,但邊界網路的有效多層防禦有助於降低成功攻擊的數量,使安全人員能夠專注於設計了繞過邊界管制方法的攻擊者。

解決方案建議
防火牆/UTM
IPS
持續性威脅防護