企業(yè)盲點(diǎn)與過時工具:安全團(tuán)隊(duì)必須不斷發(fā)展
責(zé)編:gltian |2023-04-11 14:44:52企業(yè)網(wǎng)絡(luò)已經(jīng)變得原子化——分散、短暫、加密、多樣(DEED)。此類DEED環(huán)境和我們賴以保護(hù)這些環(huán)境的常規(guī)工具,讓我們的網(wǎng)絡(luò)可見性和防護(hù)能力出現(xiàn)了缺口。盲點(diǎn)泛濫,主要原因有三。
深度包檢測(DPI)逐漸失效。隱私和安全問題的推動下,網(wǎng)絡(luò)流量加密變得十分普遍,遮住了許多傳統(tǒng)網(wǎng)絡(luò)可見性工具和安全工具的眼睛,比如下一代防火墻(NGFW)、入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)檢測與響應(yīng)(NDR)系統(tǒng)。走解密路線的公司很快就發(fā)現(xiàn)(尤其是所處行業(yè)監(jiān)管嚴(yán)格的公司),進(jìn)行持續(xù)檢測所需的解密級別是有問題的,因?yàn)楸┞兜牧髁靠赡鼙豢吹交虿东@。更不用說額外的開銷和性能權(quán)衡了。
而且,DPI也難以擴(kuò)展。在DEED環(huán)境中,找到部署SPAN端口的入口點(diǎn)沒那么簡單。即使搞清楚了該在哪里設(shè)置,大規(guī)模部署也存在成本和復(fù)雜性問題。幾乎沒幾家公司還有興趣部署硬件了。這事兒太麻煩了,很耗時間,而且在需要可見性的每個地方都部署真的很貴。然而,即使是基于軟件的方法,也需要構(gòu)建、擴(kuò)展和管理虛擬機(jī)(VM)。軟件方法消除了實(shí)體設(shè)備的成本和復(fù)雜性,但在數(shù)百個位置添加SPAN端口和流量鏡像同樣是一項(xiàng)艱巨的任務(wù)。盲點(diǎn)必然存在,因?yàn)榫W(wǎng)絡(luò)總有些部分是DPI無法看到的。
云流量日志各不相同。各個云服務(wù)提供商(CSP)可以為自己特定的云環(huán)境提供良好的可見性機(jī)制。但Flexera《2022年云狀態(tài)報(bào)告》揭示,89%的企業(yè)采用多云策略,不同CSP提供不同功能,但都有所欠缺。此外,這一領(lǐng)域沒有什么標(biāo)準(zhǔn)可用,所以各CSP提供的數(shù)據(jù)類型、數(shù)據(jù)捕獲方式和可見性級別各不相同。需要特定的專業(yè)知識才能了解這些差異,知道哪些差異比較重要,以及是否實(shí)質(zhì)性差異。可見性也是各自獨(dú)立的,所以看到流量從哪兒來到哪兒去,在云內(nèi)和云間如何流動,確實(shí)是個挑戰(zhàn)。將不同云流量日志集中到一起并規(guī)范化這些數(shù)據(jù),以便統(tǒng)一分析而無需在各個CSP之間來回切換上下文,同樣是一項(xiàng)繁重的任務(wù)。
端點(diǎn)遍布各處,且不是所有端點(diǎn)都支持代理。端點(diǎn)檢測與響應(yīng)(EDR)成為新近熱門工具是有原因的:它能解決很多問題。但是,客戶和潛在客戶表示,他們的端點(diǎn)EDR覆蓋率在60%~70%之間,不包括路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備。還有大量其他設(shè)備連接到他們的公司網(wǎng)絡(luò),同樣也不支持代理,或者在他們控制范圍之外。比如銷售點(diǎn)(POS)系統(tǒng)、暖通空調(diào)系統(tǒng)、物聯(lián)網(wǎng)設(shè)備和智能電視。此外,還有很多他們甚至沒感知到的設(shè)備,因?yàn)樽詭гO(shè)備辦公(BOYD)環(huán)境和隨時隨地工作模式引入了其他流氓設(shè)備,這些設(shè)備通過家庭網(wǎng)絡(luò)和WiFi網(wǎng)絡(luò)接入。只要無法獲悉所有端點(diǎn),漏洞必然存在。
改善網(wǎng)絡(luò)可見性和安全
為了補(bǔ)上DEED環(huán)境和傳統(tǒng)工具造成的漏洞,我們需要一種不一樣的方法,讓我們能夠在更高層級可視化網(wǎng)絡(luò)流量,囊括當(dāng)前在用各類環(huán)境和無數(shù)設(shè)備,而無需捕獲并解密數(shù)據(jù)包。做到這一點(diǎn)的關(guān)鍵就在于元數(shù)據(jù)和上下文。
流數(shù)據(jù)形式的元數(shù)據(jù)提供了一種無代理的被動方法,可供探知跨多云、本地和混合環(huán)境的網(wǎng)絡(luò)流量,包括每個IP地址和每個設(shè)備。而且,由于元數(shù)據(jù)可以提供關(guān)于網(wǎng)絡(luò)流量的信息,同時又不暴露敏感或隱私數(shù)據(jù),收集和存儲元數(shù)據(jù)的時候就不用過多考慮合規(guī)和監(jiān)管問題。
將所有流元數(shù)據(jù)整合進(jìn)一個平臺,規(guī)范化這些數(shù)據(jù),并以開源數(shù)據(jù)和特定于企業(yè)的上下文數(shù)據(jù)實(shí)時加以豐富,可以為不同團(tuán)隊(duì)全面了解網(wǎng)絡(luò)流量情況提供通用語言并指明方向。他們可以專注于與自己相關(guān)的內(nèi)容,不需要專業(yè)知識來理解不同流數(shù)據(jù),也不用存儲和查詢各個平臺,花幾個小時來尋找答案。
將安全方法提升到我們所需的水平要從使用我們已經(jīng)擁有的數(shù)據(jù)開始,還要給團(tuán)隊(duì)提供統(tǒng)一的視圖和通用語言查看所有數(shù)據(jù),這樣他們才能專注于自己想要解決的問題。這種方法重在少而精,可以補(bǔ)上實(shí)時檢測、實(shí)時調(diào)查和實(shí)時修復(fù)的短板,讓安全團(tuán)隊(duì)能夠有所發(fā)展,保護(hù)好自己治下的原子化網(wǎng)絡(luò)。
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧