改善網(wǎng)絡(luò)安全可視性的技巧
獲得正確級(jí)別的IT安全可視性,就像是打地鼠的游戲或試圖堵住滲透的管道。
網(wǎng)絡(luò)安全產(chǎn)品領(lǐng)域包含大量工具,通常網(wǎng)絡(luò)和安全團(tuán)隊(duì)希望部署多種安全工具,并花時(shí)間建立安全儀表板–自動(dòng)從這些工具收集數(shù)據(jù),以提供整體可視性。
在本文中,我們將探討可供網(wǎng)絡(luò)和安全管理人員使用的改進(jìn)網(wǎng)絡(luò)安全可視性的技巧,包括如何識(shí)別潛在的威脅向量以及確保正確的安全工具集。
工具可視性
在解決網(wǎng)絡(luò)安全可見(jiàn)性時(shí),網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該問(wèn)的第一個(gè)問(wèn)題是:我們是否擁有必要的工具?
為了回答這個(gè)問(wèn)題,網(wǎng)絡(luò)和安全團(tuán)隊(duì)可以使用網(wǎng)絡(luò)防御矩陣(Cyber Defense Matrix)來(lái)識(shí)別功能區(qū)域中的漏洞和重復(fù)項(xiàng)。Sounil Yu的演講“網(wǎng)絡(luò)防御矩陣:網(wǎng)絡(luò)安全的科學(xué)模型”很好地介紹了其用法。
該矩陣在其水平軸上映射了相關(guān)的安全功能,并在垂直軸上顯示了相關(guān)的基礎(chǔ)架構(gòu)組件。可視性主要是關(guān)于識(shí)別和檢測(cè)攻擊,因此請(qǐng)關(guān)注“識(shí)別和檢測(cè)”列中列出的工具。
威脅向量
網(wǎng)絡(luò)攻擊通常的形式是:漏洞利用,或通過(guò)使用社交工程在企業(yè)內(nèi)部傳播惡意軟件(例如網(wǎng)絡(luò)釣魚攻擊)。這導(dǎo)致兩種可能的威脅向量:外部和內(nèi)部。
外部可視性
網(wǎng)絡(luò)和安全團(tuán)隊(duì)必須解決所有可以從外部利用的漏洞。各種供應(yīng)商都提供安全可視性服務(wù),可識(shí)別知名漏洞。這些服務(wù)提供對(duì)企業(yè)外部安全狀況的連續(xù)可見(jiàn)性,而僅在某些時(shí)候使用滲透測(cè)試。
外部安全檢查的產(chǎn)品示例之一是SecurityScorecard,它會(huì)生成多方面的報(bào)告,使你一目了然。 (免責(zé)聲明:NetCraftsmen在我們的安全實(shí)踐中使用SecurityScorecard。很多其他公司都提供類似的產(chǎn)品。)
內(nèi)部可視性
在大型網(wǎng)絡(luò)中,內(nèi)部可視性可能是一個(gè)挑戰(zhàn)。訓(xùn)練有素的團(tuán)隊(duì)需要將工具部署在網(wǎng)絡(luò)中的正確位置,并進(jìn)行正確配置和維護(hù)。正確的部署地點(diǎn)通常是網(wǎng)絡(luò)聚合點(diǎn),例如辦公室(LAN)、遠(yuǎn)程設(shè)施(WAN)和數(shù)據(jù)中心(高速LAN)之間的互連。當(dāng)發(fā)生滲透時(shí),監(jiān)視對(duì)等攻擊將要求團(tuán)隊(duì)監(jiān)視設(shè)施內(nèi)子網(wǎng)之間甚至數(shù)據(jù)中心中VM之間的流量。
內(nèi)部可視性包括識(shí)別以前未知的網(wǎng)絡(luò)設(shè)備,這可能是由于所謂的影子IT所致。或者,它可以確定要監(jiān)視的最佳位置,從而提高現(xiàn)有工具的效率。還必須提供對(duì)OS補(bǔ)丁程序級(jí)別的可見(jiàn)性,并使用這些數(shù)據(jù)來(lái)驅(qū)動(dòng)自動(dòng)補(bǔ)丁程序系統(tǒng)。如果無(wú)法修補(bǔ)系統(tǒng),則應(yīng)嚴(yán)格將其限制為僅與其他設(shè)備進(jìn)行必需的通信。這將減少惡意軟件的傳播和IoT的危害,因?yàn)椴涣夹袨檎哌^(guò)去一直使用網(wǎng)絡(luò)攝像頭和類似的IoT設(shè)備進(jìn)行分布式拒絕服務(wù)攻擊。
很多工具專用于內(nèi)部IT安全可見(jiàn)性,并提供類似于外部安全工具的儀表板。例如,RedSeal可評(píng)估企業(yè)的網(wǎng)絡(luò)并提供彈性評(píng)分。(免責(zé)聲明:NetCraftsmen在我們的安全實(shí)踐中使用RedSeal,但還有很多其他可用的工具。)
安全可視性的配套系統(tǒng)
由于IT安全行業(yè)很廣泛,因此團(tuán)隊(duì)無(wú)疑需要多種工具來(lái)獲得全面的網(wǎng)絡(luò)安全可視性。
- 入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)。IDS / IPS設(shè)備在提供額外可視性方面起著關(guān)鍵作用。這些系統(tǒng)以及其他可見(jiàn)性工具的自動(dòng)化,可以減少管理這些系統(tǒng)的工作量。
- 流數(shù)據(jù)。團(tuán)隊(duì)需要有關(guān)設(shè)備之間網(wǎng)絡(luò)數(shù)據(jù)流的信息,以了解惡意軟件的傳播路徑,并設(shè)計(jì)內(nèi)部防火墻規(guī)則集,這些規(guī)則集不會(huì)阻礙必要的業(yè)務(wù)流量。
Arbor Insight、Kentik、Plixer和Tetration等產(chǎn)品可提供流數(shù)據(jù)分析(例如NetFlow、IPFIX(IP流信息輸出)或sFlow(采樣流)),以識(shí)別誰(shuí)在使用網(wǎng)絡(luò)以及正在使用哪種協(xié)議。這樣可以輕松地識(shí)別必須相互通信的設(shè)備,以及攻擊其他設(shè)備的受感染設(shè)備-即惡意軟件傳播。所需的流量可以通知構(gòu)建白名單防火墻規(guī)則,并且,不必要的流量可以識(shí)別受感染的設(shè)備。
- 自動(dòng)化。網(wǎng)絡(luò)攻擊和漏洞的規(guī)模實(shí)在太大,無(wú)法手動(dòng)處理。為了提高效率,企業(yè)應(yīng)該部署和使用自動(dòng)化系統(tǒng)。自動(dòng)化系統(tǒng)必須能夠檢測(cè)威脅并自動(dòng)對(duì)威脅進(jìn)行響應(yīng),同時(shí)向網(wǎng)絡(luò)和安全管理人員警告威脅和行動(dòng)。
- 高管支持。不要忽視企業(yè)高管支持。高管需要對(duì)安全感興趣并監(jiān)視其有效性。團(tuán)隊(duì)是否在利用數(shù)據(jù)信息?哪些安全事件被檢測(cè)或避免?訓(xùn)練有素的團(tuán)隊(duì)是否部署了正確的工具,并有效地利用這些工具?
網(wǎng)絡(luò)和安全團(tuán)隊(duì)需要與其他IT部門一起合作才能發(fā)揮最大作用。高管可能需要在整個(gè)IT領(lǐng)域建立團(tuán)隊(duì)合作文化,讓更多的目光注視著所有IT系統(tǒng),這會(huì)使企業(yè)的運(yùn)作更加順暢。
