企業盲點與過時工具:安全團隊必須不斷發展
責編:gltian |2023-04-11 14:44:52企業網絡已經變得原子化——分散、短暫、加密、多樣(DEED)。此類DEED環境和我們賴以保護這些環境的常規工具,讓我們的網絡可見性和防護能力出現了缺口。盲點泛濫,主要原因有三。
深度包檢測(DPI)逐漸失效。隱私和安全問題的推動下,網絡流量加密變得十分普遍,遮住了許多傳統網絡可見性工具和安全工具的眼睛,比如下一代防火墻(NGFW)、入侵防御系統(IPS)和網絡檢測與響應(NDR)系統。走解密路線的公司很快就發現(尤其是所處行業監管嚴格的公司),進行持續檢測所需的解密級別是有問題的,因為暴露的流量可能被看到或捕獲。更不用說額外的開銷和性能權衡了。
而且,DPI也難以擴展。在DEED環境中,找到部署SPAN端口的入口點沒那么簡單。即使搞清楚了該在哪里設置,大規模部署也存在成本和復雜性問題。幾乎沒幾家公司還有興趣部署硬件了。這事兒太麻煩了,很耗時間,而且在需要可見性的每個地方都部署真的很貴。然而,即使是基于軟件的方法,也需要構建、擴展和管理虛擬機(VM)。軟件方法消除了實體設備的成本和復雜性,但在數百個位置添加SPAN端口和流量鏡像同樣是一項艱巨的任務。盲點必然存在,因為網絡總有些部分是DPI無法看到的。
云流量日志各不相同。各個云服務提供商(CSP)可以為自己特定的云環境提供良好的可見性機制。但Flexera《2022年云狀態報告》揭示,89%的企業采用多云策略,不同CSP提供不同功能,但都有所欠缺。此外,這一領域沒有什么標準可用,所以各CSP提供的數據類型、數據捕獲方式和可見性級別各不相同。需要特定的專業知識才能了解這些差異,知道哪些差異比較重要,以及是否實質性差異。可見性也是各自獨立的,所以看到流量從哪兒來到哪兒去,在云內和云間如何流動,確實是個挑戰。將不同云流量日志集中到一起并規范化這些數據,以便統一分析而無需在各個CSP之間來回切換上下文,同樣是一項繁重的任務。
端點遍布各處,且不是所有端點都支持代理。端點檢測與響應(EDR)成為新近熱門工具是有原因的:它能解決很多問題。但是,客戶和潛在客戶表示,他們的端點EDR覆蓋率在60%~70%之間,不包括路由器和交換機等網絡設備。還有大量其他設備連接到他們的公司網絡,同樣也不支持代理,或者在他們控制范圍之外。比如銷售點(POS)系統、暖通空調系統、物聯網設備和智能電視。此外,還有很多他們甚至沒感知到的設備,因為自帶設備辦公(BOYD)環境和隨時隨地工作模式引入了其他流氓設備,這些設備通過家庭網絡和WiFi網絡接入。只要無法獲悉所有端點,漏洞必然存在。
改善網絡可見性和安全
為了補上DEED環境和傳統工具造成的漏洞,我們需要一種不一樣的方法,讓我們能夠在更高層級可視化網絡流量,囊括當前在用各類環境和無數設備,而無需捕獲并解密數據包。做到這一點的關鍵就在于元數據和上下文。
流數據形式的元數據提供了一種無代理的被動方法,可供探知跨多云、本地和混合環境的網絡流量,包括每個IP地址和每個設備。而且,由于元數據可以提供關于網絡流量的信息,同時又不暴露敏感或隱私數據,收集和存儲元數據的時候就不用過多考慮合規和監管問題。
將所有流元數據整合進一個平臺,規范化這些數據,并以開源數據和特定于企業的上下文數據實時加以豐富,可以為不同團隊全面了解網絡流量情況提供通用語言并指明方向。他們可以專注于與自己相關的內容,不需要專業知識來理解不同流數據,也不用存儲和查詢各個平臺,花幾個小時來尋找答案。
將安全方法提升到我們所需的水平要從使用我們已經擁有的數據開始,還要給團隊提供統一的視圖和通用語言查看所有數據,這樣他們才能專注于自己想要解決的問題。這種方法重在少而精,可以補上實時檢測、實時調查和實時修復的短板,讓安全團隊能夠有所發展,保護好自己治下的原子化網絡。
來源:數世咨詢