網絡可見性:看還是不看?這是一個問題
今日網絡世界,圍繞網絡可見性,IT人發現自己不斷在問一些很難回答的問題:我們怎樣看到整個網絡?我們需要哪些工具?如何保持合規?雖然不是生死攸關的問題,不像《哈姆雷特》里面“生存還是毀滅”那么殘酷,對公司安全態勢而言還是很值得一問的。尤其是在數據和網絡復雜度增加,對隱私和安全的關注度上升的情況下。
電子商務、大數據、社會協作和互聯網等方面的創新,推進了現有計算系統的極限,反過來,也迫使公司企業進行基礎設施升級,包括遷移到云端。加密也覆蓋了大半個網絡。在此過程中,公司企業及其員工獲得了生產力和安全的提升,但同時也犧牲了可見性與控制力。考慮到現代企業網絡處理的大量敏感信息,可見性與控制的喪失可能會成為大問題。
這樣一種環境里,復雜漏洞利用依然會發生,信息依然會被劫持——只要復雜性阻礙了細粒度觀察網絡中發生事件的能力。解決起來很難,但也不是完全沒有解決方案。安全風險及合規限制了完整可見性的問題該如何解決,公司企業可以考慮如下做法:
一、透過掩碼看數據
完整的可見性是安全必備要素。但有些東西必須保持不可見,比如個人可識別信息(PII)和關鍵生產數據等。各行各業都有相關數據標準和規則限制誰能看到并使用這些信息。怎樣保證既有可見性又合規呢?
數據遮掩,也就是數據訪問限制基本上讓數據不可見,通過部分模糊或用虛假信息替換的方式,換掉敏感數據。基本上,數據遮掩,其實就是數據被修改成基本信息保持不變,而關鍵信息被改變的情況。
這并不意味著完整可見性再也不可獲得,僅僅只是不應該被看到的數據不可見而已。
二、什么時候遮掩
區分哪些數據需要遮掩,哪些數據要保持可見的時候,尤其是在要滿足數據保護要求的情況下,有幾個因素是必須考慮的。下面幾種情況中,數據遮掩特別有用。
1. 測試
公司企業必須常用逼真的數據集來測試和開發相關軟件。然而,創建偽數據集有可能既耗時又昂貴。為應對這種情況,可以對真實數據進行遮掩后利用之,在不危及安全的情況下提升效率。這對外包也很有用,因為可以限制真實數據的暴露面。
2. 監視和記錄
公司企業往往需要監視和記錄數據,但根據法律法規,PII是不能被存儲的。數據遮掩可以讓公司企業既記錄下來數據,又模糊掉敏感數據,***規避了合規問題。
3. SSL解密
雖然可以保護數據,SSL(安全套接字層)加密同樣會帶來風險,因為黑客可以利用加密數據偷偷潛入,盜取敏感信息。因此,公司企業解密并檢查流經自身網絡的SSL流量,確保沒有惡意活動。但SSL解密意味著,有權訪問監視工具的任何人,都可以看到加密背后的敏感數據了。幸運的是,有工具可以在解密SSL數據的同時,遮掩起不應該暴露的數據。
三、正確遮掩
不是所有的數據遮掩解決方案都是生而平等的。為確保你選到正確的那個,知曉其用法是重中之重。總而言之,要知道什么是該遮掩的,以及該如何便捷訪問和分發數據。
比如說,僅僅是為了將數據分發到DLP(數據丟失防護)設備進行分析,還是必須適合原生搜索?如果是后者,解決方案就應該支持正則表達式(Regex)。另外,如果通過正則表達式搜索訪問數據,網絡包代理就值得考慮了。網絡包代理可以輕松收集數據、檢索和分發以監視設備。還有可在正則表達式的基礎之上與數據遮掩解決方案協作良好的處理器,有助輕松篩選流量,識別異常行為及應用使用中的其他趨勢。網絡管理員只需簡單地指定需要查找哪些流量,以及結果的呈現方式即可。
最終,在如今這復雜的網絡和監管環境下,安全歸結為網絡被看到的方式,而不是是否能看到網絡全貌。如此之多的數據縈繞周圍,怎么處理這個問題,最終還是要落到公司企業自身來決策。希望不要像我們的老朋友哈姆雷特一樣以悲劇收場吧。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
