當心造個龐然大物的堆棧。
今時今日, IT安全已經不僅僅是防病毒軟件或防火墻產品了。除了防病毒軟件和防火墻產品以外,市場上有各式各樣一大堆的產品,可用于以不同的方式保護企業。
IT安全是一個堆棧,恰如TCP-IP網絡或網絡服務器功能擁有堆棧功能一樣。問題是,打造IT安全的最好方法是什么?
Deloitte安全戰略和架構主管David Spence認為安全堆棧可分為幾層,和諸如網絡堆棧等大多數其他技術堆棧一樣,安全堆棧從應用層開始自上而下,基本的東西在底層。
他將顧客和品牌安全技術放在最高層,具體的產品有諸如查找釣魚網站或在網上搜索冒牌貨時用的產品。
其他層包括身份識別、訪問管理和應用安全性。按Spence的分層,網絡安全(防火墻、入侵檢測系統等)為第四層,而系統安全(不僅是服務器安全,還包括客戶端設備和BYOD)為第三層。
他認為,靠近堆棧底部的數據安全的作用撐起其他所有的安全性。底部的數據安全包括使用加密技術保護存儲的數據和處于傳輸中的數據。堆棧的底部是安全運算。
IT安全里至少有一個類別是跨越多層的,可能不是跨越所有的層。該類別為云安全。
Spence表示,“可以將不同層混合在一起,或是抽出某一層作為重點考慮。”
生龍活虎!
如果一個企業需考慮覆蓋IT安全技術堆棧的所有層,該企業要做一個重要的抉擇:是找一家涵蓋所有層的供應商買一個整合的安全產品(姑且稱之為整合堆棧法),還是去找不同的廠商(每一個擅長某一方面)買各個層的產品自己打造一個“龐然堆棧”?
Spence稱,這在很大程度上取決于企業所要解決的問題和企業的網絡策略。
他表示,“就我所遇到大多數情況來看,企業最終要考慮的是成本。很難去說服生意人不考慮成本。”
總之,花錢少的方法一般來說可以取勝,特別是在安全領域,這一塊沒有什么投資回報。
長處和短處
整合的安全堆棧產品一般來說花錢少,便于管理,或許這樣的產品也不可以提供所有的東西,但至少也可以提供通常所需要的東西。對于那些無復雜需求的企業,整合的安全協議堆棧產品可以提出簡單的解決方案,單一的供應商能提供多平臺的支持。
這種整合的東西對一些公司有吸引力,但堆棧解決方案也有潛在的缺點。
托管公司Peer 1的網絡解決方案架構師Liam Enticknap提了個醒,“這樣做是把所有的雞蛋放在一個籃子里。”
“如果失敗,你就完蛋了。進退兩難。抑或必須重建一切,又要花精力和財力。”
Enticknap指,用各層最佳的方案(姑且稱之為最佳產品法)打造IT安全的優點是獨立性。他表示,“無需依靠某個固定的供應商始終是件好事。”
如果企業只是購買特定供應商的解決方案,可能會有套死在一個供應商身上的顧慮。有的供應商可能大方一些,也有供應商嚴格控制自己的產品,故意使自己的產品不與其他產品兼容。
利用多個單獨的供應商解決方案從成本的角度來看有其可取之處,但有時企業有特殊的安全需要而不得不用另一種的方法。
安全和規管廠商Tripwire的首席技術官Dwayne Melancon和很多能源公司打交道。這一類的公司在IT和業務領域要聘用專業技術人員。
他表示,“在業務技術方面,這些技術人員要處理專門針對電網運行環境的特定邏輯控制器和結構、基礎設施等等。”
“在這些情況下,你找不到一個你所需要的整合解決方案,所以需利用各層最佳的獨立方案。”
同樣,一個部門里不同的組可以要處理不同的系統和風險狀況,因此需要不同供應商的產品。
Melancon表示,“所以,你必須構造自己的部件。一個方法是看其對企業的價值,另一個方法是看其影響。我的風險形狀是什么?”
Spence表示,利用各層最佳的獨立方案的潛在好處在于可以用上一些別的地方不存在的特定功能,但你必須確保這些功能能派得上用場,有些特定的功能很容易令人眼花繚亂,尤其是在沒有特定目標的情況下進行采購時是這樣。
以新一代防火墻為例。一個簡單的防火墻能夠在端口層次上攔截電子郵件,而新一代設備則可能會更趨細致化,比如可以允許用戶閱讀電子郵件,但或許不能寫電子郵件,或是可以在工作場所查讀電子郵件,但不能發送附件。
Spence有如下的提醒,并不是所有的公司買了一堆設備后就會對其加以充分利用。
他表示,“這些人不會花時間想‘我們擁有這項新技術,我們怎樣能物盡其用呢?’如果不改變業務流程,不改變相應的支持程序,那么它是派不上用場的。”
另一方面,最佳產品法無法保證彼此之間很好的兼容。另外還有其他潛在缺點。
Enticknap承認,“最佳產品法有不足的地方。會有更多的失誤,供應商之間會各有其出錯的地方,要整合可能存在問題。”
集各供應商之大成
客戶挑選自己的解決方案,在管理互操作性方面存在挑戰。安全信息和事件管理工具的設計目標是要與多個系統關聯,以協調各系統之間的運作。
這些工具從不同的來源獲取數據,將其規整,使其能相互兼容,此過程名曰歸一化。
Melanchon的提醒是,“這些工具的花費往往不菲,你依靠他們為你更新所有東西。”
另一種方法是使用中間件(Middleware)。中間件是一種粘合劑,將不同廠商的最佳產品粘在一起。
邁克菲曽在大部分層上充實了旗下的安全堆棧,今年二月還推出了自己的中間件平臺。邁克菲副總裁兼EMEA首席技術官Raj Samani解釋說,邁克菲的數據交換層(DXL)是一個可以整合第三方安全產品的平臺。
他表示,“我們要將DXL作為管道,或是說管子,在多個廠商之間達成多種安全控制的目的。”
除此以外還正在努力創建標準的信息交換格式,使產品能更容易地進行數據交換。
他補充說,數據交換層平臺是另一個推出的產品的基礎。產品的名字叫做邁克菲威脅情報交流(McAfee Threat Intelligence Exchange)。基本的想法是從多個來源收集信息,以確認處于危險之中的系統。
他表示,“你可以通過查看多個情報來源,真的可以增強安全性。”
坊間也存在其他的做法,目的是建立標準信息交換格式,使各種產品能更容易地相互交流。
研究公司Mitre是個不以營利為目的的公司。Mitre有兩個研究項目,都是由美國國土安全部資助的。兩個項目的名字為:指標信息的可信自動交換(TAXII);結構化威脅信息的運算表達(STIX)。Mitre的兵器庫還有別的標準武器,包括用于惡意軟件信息交流的MAEC語言。
TAXII定義了用于交換網絡威脅信息的協議, STIX則是這些信息(包括網絡安全事件)的一種通用格式。
未決問題
企業是否可以用開源軟件有效地將同類最佳產品拴在一起呢? Melancon認為可以。他的理據是,大家經常看到有些公司用開源軟件將最佳的安全組件湊在一起,用作解決一些特定的事。
他表示,“采用最佳產品法的話,就要承擔審核和安全性測試的負擔。”
“那些愿意做出這些額外投資的企業會被開源所吸引,原因在于采購成本,但這些企業在運作上要付出額外的費用。”
邁克菲已經在使用開源軟件,開源軟件是旗下入侵檢測和預防系統的一部分。有些諸如工業控制企業的特殊定位公司已經為一些特定垂直行業建立了入侵檢測特征(Signature)。
Samani表示,“我們擁有一些特定的入侵檢測特征,可供Snort(開源入侵防御系統)使用。”
界線模糊
整合堆棧法和最佳產品法之間的界線往往不是十分明顯。大公司收購小型最佳產品公司以期加強自己的堆棧技術的事也時有所聞。
小公司也可以相互收購對方,以逐步擴大同類最佳產品,構成更廣泛的產品組合。
根據WatchGuard的安全戰略主管Corey Nachreiner的說法,還存在第三個的做法。各個企業可以相互結為合作伙伴,利用同行中不同的解決方案,推出特定的產品。
Watchguard像許多初創公司一樣,開始的時候只擁有一個單一的產品類別——新一代防火墻。但Watchguard知道要長期保持競爭力就必須增加更多的功能。
Nachreiner表示,“在將各種額外的層添加到我們的協議棧的過程中,我們與同行里最好的企業結為合作伙伴。”
Watchguard與其他反病毒軟件結成合作伙伴關系,與他們建立了關系,在入侵防御和網絡安全等領域里使用其他產品。
他表示,“我們這樣做以后,我知道這些服務的背后是些大牌。”
Watchguard還在收購安全公司,將被收購公司的技術添加到旗下的堆棧中,而收購的時機則在很大程度上取決于收購的技術與堆棧其余部分的關系。
他表示,“我們添加的東西可不可以商品化?除非在入侵防御領域出現某種新的革命性變化,否則我們沒有理由要收購這一類的公司,所以我們用的是結盟合作伙伴的方法。”
“但在先進的威脅檢測領域,也許我們會考慮是否應該收購某個公司。”
隨著各類公司游走于二者模糊的界線之間,處決于你說的是安全堆棧的哪一部份,你看到的將是一個整合產品和同類最佳產品的混合物。
也有些公司會將堆棧的幾層合為一個單一的產品集(甚至一個單一的產品,如一個設備),同時卻又將其他層分成獨立的層。
平滑混合
Melancon指,用該辦法將安全堆棧的不同層混和在一起是可行的,前提是使用該產品的人覺得這樣做有其用處。
他表示,“我見過一些安全套件,合在一起沒什么用處,原因是套件是由一個部門里不同的人處理的。”他提到數據庫監控和防火墻的例子。
“有搞數據庫的人,也有搞網絡的人,搞網絡的人對數據庫一無所知,你想在這一塊搞混合。”
他補充指出,另一方面,應用程序監控和防火墻合在一起就有用處,原因是網絡科技人士往往對如何使用應用程序有更好的了解。
Spence還提醒要注意一些廠商可能把水攪渾,即基礎設施玩家。
他表示,“很多基本的安全要求不是由傳統的安全廠商交付的。”他說的是一個不太遠遙遠的未來的事。 “提供這些將會是經典的IT基礎設施供應商。”
例如,思科將一些安全功能置入傳統的網絡協議堆棧產品里,如交換機和路由器。微軟也令其最新的產品涵括了重要安全功能。
Spence表示,“在最新的版本中,微軟在自己的產品組合中推出了更多的基本安全要求,如數據丟失防護和電子發現。”
“這些基本的功能所能完成的事,在以前是需要安全廠商來為你完成的。”
事實上,IT部門可能很難從單一供應商那采購一套完整的安全堆棧。即便是他們想采取整合堆棧法,他們可能還是必須與幾個公司打交道,才能夠覆蓋他們所想要覆蓋的層。
所以,介于最佳產品法和整合堆棧法的選擇與其說是一個不是白就是黑的選擇,還不如說是一個在一個區間里定位的選擇。
所以也不要在兩個方面走極端,先看一下第三家是如何評估的,以確保你的安全堆棧正好是你想要的,或至少,安全堆棧缺少的東西不是你所需要的。
京公網安備 11010502049343號