SecOps和針對NetOps團隊的網絡安全基礎知識
盡管網絡和安全對于彼此以及對于業務運營都至關重要,但網絡運營和安全運營團隊(分別是NetOps和SecOps)通常是孤立的。
如果不完全了解SecOps團隊的工作,NetOps團隊可能無法有效幫助抵御重大網絡安全威脅,例如漏洞和惡意軟件。網絡性能監控供應商Viavi Solutions公司的高級解決方案工程師Matt Allen表示,NetOps團隊必須了解網絡安全基礎知識,以及SecOps團隊每天工作中如何增強企業的網絡安全和網絡安全戰略。
在一次網絡研討會中,Allen試圖彌合NetOps和SecOps專業人員之間的差距。他探討了針對網絡工程師的關鍵網絡安全基礎知識,包括不同類型的網絡攻擊-和攻擊者-以及安全服務提供的不同防御層。
網絡工程師的三個網絡安全基礎知識
企業的SecOps團隊每天處理無數的網絡安全事件,他們不斷地爭分奪秒地及時修復問題。以下是NetOps團隊應該了解的三個基本網絡安全基礎知識。
網絡攻擊者類型
根據Allen的說法,網絡攻擊者通常屬于以下三類:
- 低風險攻擊者。與更高級的攻擊者相比,這些攻擊者的技能較低,也沒有那么有耐心,并且使用在線免費提供的工具。他們的攻擊通常是攻擊者類型中最快和最簡單的。
- 中等風險攻擊者。這些攻擊者比低風險攻擊者更有耐心。黑客行動主義者屬于這一類,他們的目的是竊取知識產權,或因道德、政治或普遍分歧而企圖發動攻擊。
- 高風險攻擊者。高風險攻擊者愿意在幾個月到幾年的時間里慢慢了解員工的習慣和業務運營。Allen稱,這些可能是民族國家或有組織的犯罪攻擊者,他們希望獲得盡可能多的收獲。
NetOps團隊應該了解網絡攻擊者的基本指標,因為網絡數據(例如數據包或流量數據)可以幫助跟蹤不良行為者的行為。這些知識可以使團隊在攻擊發生時阻止攻擊,防止攻擊或幫助團隊在無法阻止攻擊時從錯誤中吸取教訓。
Allen稱:“如果企業擔心真正嫻熟的攻擊者會花時間發起攻擊,你需要詳細的數據來追捕他們,因為他們會盡量保持安靜。網絡數據有助于大多數檢測和攻擊事件后補救。”
網絡攻擊類型
與各種類型的網絡攻擊者一樣,企業面對著多種類型的網絡攻擊。根據Allen的說法,最常見的攻擊包括以下:
- 高級持續攻擊(APT)。高風險攻擊者是最有可能的APT罪魁禍首。這些攻擊涉及入侵者(未被發現)花費很長時間了解一個組織,該組織通常是高級別的,例如政府或金融組織。APT通常會竊取數據和信息,而不是對網絡造成重大損害。
- 通用漏洞披露(CVE)。雖然不一定是攻擊,但CVE是另一類網絡威脅。漏洞和披露分別使攻擊者能夠直接和間接地訪問網絡資源。CVE威脅需要補丁,SecOps團隊為所有易受攻擊的硬件或軟件處理這些補丁。
- 網絡釣魚。網絡釣魚攻擊最常見于員工收到的未經請求的電子郵件,這些電子郵件可能看似來自信譽良好的來源,但其中包含用于竊取員工憑據的惡意鏈接或附件。Allen說,在90%的數據泄露事件中,最開始是網絡釣魚攻擊。
- 勒索軟件攻擊。勒索軟件是一種越來越常見的基本惡意軟件類型。勒索軟件涉及鎖定或加密某人數據并要求付款作為回報的攻擊者。低風險攻擊者通常會執行勒索軟件攻擊,因為如果組織愿意付款,它們是一種快速簡便的賺錢方式。
- SQL注入攻擊。SQL注入以機密數據為目標,以便將其公開。為了完成SQL注入,攻擊者使用SQL代碼訪問加密資源或更改機密或敏感數據。這些攻擊可能會損害任何具有SQL數據庫的Web應用程序。
對于APT攻擊,NetOps團隊可以提供網絡數據,他們可以追蹤攻擊者的數據以查看他們訪問、更改或定位的內容。此外,可以說,NetOps團隊最熟悉網絡的運行方式,因此他們可以利用這種專家級的洞察力在問題出現時或在他們造成無法彌補的損失之前發現問題。
Allen稱:“你必須非常了解自己的流量。如果我知道打印機應該與這臺機器對話,那么當發生異常情況時,我就能知道。這對每個人來說都是不同的,所以設備指紋和基線檢查非常重要。”
安全服務類型
網絡安全基礎的關鍵因素是企業投資的安全服務或服務。Allen說,大多數安全服務都屬于三層防御之一,盡管很多服務結合了多層,或者企業可能會選擇多供應商、多層方法。這些防御層如下:
- 保護。保護層就像城堡周圍的護城河。保護服務僅旨在阻止未經授權的用戶進入網絡。示例包括防火墻、VPN和入侵防御系統。
- 檢測。檢測層是城堡守衛:如果服務感知到威脅,它會提醒SecOps團隊并表示應該調查潛在威脅。這些服務不執行警報以外的任何操作。示例是入侵檢測系統。
- 響應。響應層包括騎士-甚至是巫師-采取行動保護王國或網絡,Allen說。這些服務提供機器重新映像功能,并且可以主動關閉網絡上潛在的有害活動,以驗證是否存在問題。示例是網絡性能監控和診斷工具。 雖然企業可能難以在供應商之間進行選擇,但IT團隊可以提出幾個問題來確定哪種服務提供哪一層防御以及企業是否需要該功能。
Allen稱:“一切都在發展,我們真正需要知道的是:這會阻止流量嗎?它會允許它并只是提醒它嗎?或者這是幫助你在有人進入時追捕的工具?”
隨著NetOps團隊在安全問題上花費更多時間,這些網絡安全基礎知識對于確保組織保持安全以及幫助NetOps和SecOps團隊彌合孤立的差距,并共同努力維護安全至關重要。
