構(gòu)建安全的網(wǎng)絡(luò),你需要的不僅僅只是改善網(wǎng)絡(luò)安全
安全管理人員面臨著很多困難,尤其是在面對(duì)看似無(wú)休止的網(wǎng)絡(luò)攻擊時(shí),總是感到在疲于應(yīng)付和阻止威脅,并且迫切需要借助任何可用的手段來(lái)應(yīng)對(duì)威脅。為了深度防御,太多的企業(yè)采用的方法就是“買(mǎi)進(jìn)來(lái)”,希望通過(guò)給網(wǎng)絡(luò)增加越來(lái)越多的安全層,企業(yè)能夠跟上試圖破壞網(wǎng)絡(luò)和信息安全的各種惡意威脅。
由此就產(chǎn)生了一種不可管理的卻宣稱能夠使企業(yè)更安全的產(chǎn)品系統(tǒng),實(shí)際上,這些產(chǎn)品采用了一種破壞生產(chǎn)力的“過(guò)度防御”的模式。企業(yè)將太多的時(shí)間和金錢(qián)用于保證網(wǎng)絡(luò)安全的更新上,卻沒(méi)有將足夠的時(shí)間用于構(gòu)建真正安全的網(wǎng)絡(luò)。如此做法非但沒(méi)有創(chuàng)建有更強(qiáng)確定性的網(wǎng)絡(luò),反而創(chuàng)造了一種過(guò)度復(fù)雜的網(wǎng)絡(luò)。
例如,大量的所謂新設(shè)備宣稱能夠保護(hù)企業(yè)網(wǎng)絡(luò)免受任何特定的威脅。但是,如果出現(xiàn)了一種新威脅,企業(yè)網(wǎng)絡(luò)就增加一個(gè)新安全層,網(wǎng)絡(luò)卻不會(huì)因此而更安全。
事實(shí)是,企業(yè)需要從根本上改變看待安全的思想,需要重置其思考方式,并將關(guān)注的重點(diǎn)不再放在改善網(wǎng)絡(luò)安全上,而應(yīng)放在構(gòu)建安全的網(wǎng)絡(luò)上。雖然部署多層防御很重要,但是企業(yè)應(yīng)將更多的重點(diǎn)放在如何集成、升級(jí)、管理公司的安全性上。
就其本質(zhì)而言,安全網(wǎng)絡(luò)應(yīng)關(guān)注自動(dòng)化和管理。其中包括除防火墻之外的進(jìn)一步強(qiáng)化,進(jìn)而決定網(wǎng)絡(luò)中的哪些點(diǎn)有助于阻止威脅。安全網(wǎng)絡(luò)應(yīng)著重于如何更有效地從多個(gè)源頭來(lái)集成威脅情報(bào),然后自動(dòng)分析這些信息。最后,安全網(wǎng)絡(luò)需要找到更為集中的管理方法,并且要盡可能廣泛地在公司基礎(chǔ)架構(gòu)中改變策略和規(guī)則。
我們需要改變思考策略、檢測(cè)及強(qiáng)化的方式。任何公司都可以關(guān)注如下三個(gè)方面來(lái)構(gòu)建安全網(wǎng)絡(luò),而不僅僅是改善網(wǎng)絡(luò)安全。
1.開(kāi)放性的標(biāo)準(zhǔn)和基于意圖的策略引擎。多年以來(lái),業(yè)界一直在談?wù)摻y(tǒng)一策略和統(tǒng)一策略引擎。在不同的策略引擎之間轉(zhuǎn)換策略變得極其困難。安全管理專家至少正在繼承和管理三代設(shè)備,在網(wǎng)絡(luò)的安全覆蓋范圍方面卻幾乎沒(méi)有什么明確證據(jù)。我們需要使策略引擎構(gòu)成聯(lián)盟并實(shí)現(xiàn)自動(dòng)化,策略引擎要支持通過(guò)開(kāi)放的標(biāo)準(zhǔn)來(lái)交換策略。社區(qū)和業(yè)界應(yīng)大力支持在網(wǎng)絡(luò)安全信息的共享規(guī)范上做出一些開(kāi)源努力,如TAXII、 STIX、 CybOX等。其中,STIX尤其重視網(wǎng)絡(luò)威脅信息的交換。這可以使我們改變關(guān)于網(wǎng)絡(luò)威脅和惡意行為的一些思想。
2.在任何地方進(jìn)行檢測(cè)的能力。企業(yè)應(yīng)利用最新技術(shù)來(lái)更快地確認(rèn)惡意企圖。首先,對(duì)于前面提到的STIX,我們希望能夠利用所有的好情報(bào),在確認(rèn)威脅和惡意企圖方面掌握實(shí)時(shí)的信息功能。任何企業(yè)只要擁有基于開(kāi)放標(biāo)準(zhǔn)的威脅情報(bào)交換能力,即掌握了阻止已知威脅的信息。即使擁有一些最好的防火墻和已明確定義的外圍安全策略,也能在局域網(wǎng)內(nèi)部檢測(cè)到威脅和惡意企圖。
不幸的是,這些威脅和惡意企圖往往是在安全事件響應(yīng)團(tuán)隊(duì)以某種形式通知公眾后由人工方式發(fā)現(xiàn)的。企業(yè)不應(yīng)當(dāng)調(diào)查網(wǎng)絡(luò),而應(yīng)當(dāng)利用網(wǎng)絡(luò)自身來(lái)檢測(cè)網(wǎng)絡(luò)威脅和惡意企圖,并立即隔離或阻止惡意企圖在網(wǎng)絡(luò)中的擴(kuò)散。
3.在任何地方執(zhí)行。如果你能夠在企業(yè)網(wǎng)絡(luò)中的任何地方檢測(cè)到威脅,為什么不能夠在那個(gè)地方阻止威脅?業(yè)界實(shí)現(xiàn)安全的方法是什么?答案是:一直在網(wǎng)絡(luò)的邊緣強(qiáng)化安全。對(duì)于移動(dòng)計(jì)算、BYOD、物聯(lián)網(wǎng),從另一個(gè)方面來(lái)看,外圍就是任何地方。在網(wǎng)絡(luò)的每一個(gè)點(diǎn)上去部署另一層安全不但在經(jīng)濟(jì)上不可行,而且也不利于運(yùn)維和管理。為什么不利用網(wǎng)絡(luò)自身?利用網(wǎng)絡(luò)是實(shí)施檢測(cè)和強(qiáng)化安全的最具有成本效益的高效方法。安全形勢(shì)在不斷變化。我們必須摒棄原來(lái)考慮網(wǎng)絡(luò)安全的傳統(tǒng)方法。
安全業(yè)界需要在思想上進(jìn)行根本的變化,充分利用網(wǎng)絡(luò)的每一個(gè)方面,以此作為安全檢測(cè)和強(qiáng)化的一個(gè)關(guān)鍵點(diǎn)。只有通過(guò)這種方法,我們才能獲得真正安全的網(wǎng)絡(luò)。
