?用來保護企業網絡的傳統工具在網絡可見性和保護它們的能力方面造成了差距。

正如之前所討論的，企業網絡已經變得原子化，意味著它們是分散的、短暫的、加密的和多樣化的 (DEED)。這些 DEED 環境和我們用來保護它們的傳統工具在網絡可見性和我們保護它們的能力方面造成了差距。由于三個主要原因，盲點猖獗。

深度包檢測 (DPI) 正在失去效力。在隱私和安全問題的推動下，網絡流量加密變得無處不在，使我們傳統上使用的許多網絡可見性和安全工具失明，例如下一代防火墻 (NGFW)、入侵防御系統 (IPS) 以及網絡檢測和響應（NDR）系統。沿著解密路徑走下去的公司，尤其是在受到嚴格監管的行業中的公司，很快就會發現，在進行持續檢測所需的級別上進行解密是有問題的，因為暴露的流量可能會被看到或捕獲。更不用說額外的開銷和性能權衡。

DPI 也很難擴展。在 DEED 環境中，很難找到部署跨端口的入口點。即使你能弄清楚放置它們的位置，大規模這樣做也會產生費用和復雜性。很少有公司對部署硬件感興趣了。在需要可見性的任何地方部署它很麻煩，需要太多時間，而且成本高昂，如果不是不可能的話。然而，即使是基于軟件的方法仍然需要構建、擴展和管理虛擬機 (VM)。它們消除了物理設備的成本和復雜性，但是在數百個位置添加跨接端口和流量鏡像的提升是一項艱巨的任務。不可避免地會存在盲點，因為網絡的某些部分總是超出范圍或無法被 DPI 看到。

云流日志是不同的。各個云服務提供商 (CSP) 可以為其特定的云環境提供良好的可見性機制。但根據Flexera 2022 年云狀態報告( PDF), 89% 的組織報告擁有多云戰略，不同的 CSP 提供不同的能力并且都存在差距。此外，幾乎沒有標準存在，因此每個 CSP 提供的數據類型、數據捕獲方式和可見性級別各不相同。了解這些差異、哪些差異很重要以及它們是否實質性需要特定的專業知識。可見性也被分隔開來，因此看到流量進出云層、云層之間甚至云層內部都是一項挑戰。找到一種方法將不同的云流日志匯集在一起并規范化數據，以便您可以用一組眼睛查看它，而不必在 CSP 之間進行上下文切換，這是一項繁重的工作。

端點無處不在，并非所有端點都可以支持代理。端點檢測和響應 (EDR) 成為新的熱門工具是有原因的；它解決了很多問題。然而，客戶和潛在客戶告訴我們，他們在端點上的 EDR 覆蓋率在 60-70% 之間，不包括路由器和交換機等網絡設備。還有許多連接到他們公司網絡的其他設備也不支持代理或不受他們控制。想想銷售點 (POS) 系統、HVAC 系統、物聯網設備和智能電視。此外，由于自帶設備 (BYOD) 環境和隨處工作模型引入了通過家庭和 wifi 網絡連接的其他流氓設備，因此還有無數他們甚至不知道的設備。如果您不能考慮端點的全部組合，就會存在差距。

改進網絡可見性和安全性方法

為了縮小 DEED 環境和傳統工具之間的差距，我們需要一種不同的方法，使我們能夠在更高層次上可視化網絡流量，跨越當今使用的環境和設備的數量和類型，而無需捕獲和解密數據包。事實證明，元數據和上下文是關鍵。

流數據形式的元數據提供了一種被動和無代理的方法來跨多云、本地和混合環境（包括每個 IP 地址和每個設備）實現網絡流量可見性。而且由于元數據提供有關網絡流量的信息而不包括敏感或私有數據，因此您可以收集和存儲它而無需擔心合規性或監管問題。

將所有流式元數據整合到一個平臺中，對其進行規范化，并使用開源數據和組織特定的上下文數據實時豐富它，為不同的團隊提供了一個去處和一種通用語言來獲取完整的信息發生了什么。他們可以專注于與他們相關的內容，而無需專業知識來理解不同的流數據，或存儲和查詢平臺以進行可能需要數小時才能提供答案的額外查找。

改進安全方法以到達需要到達的地方，從使用已有的數據開始，并為團隊提供一個地方去獲取所有數據的統一視圖和一種通用語言，以便他們可以專注于他們想要解決的問題解決。這是一種少即是多的方法，可以彌補實時檢測、實時調查和實時補救方面的差距，并使安全團隊能夠不斷發展以保護其原子化網絡。