安全管理人員面臨著很多困難,尤其是在面對看似無休止的網(wǎng)絡(luò)攻擊時,總是感到在疲于應(yīng)付和阻止威脅,并且迫切需要借助任何可用的手段來應(yīng)對威脅。為了深度防御,太多的企業(yè)采用的方法就是“買進來”,希望通過給網(wǎng)絡(luò)增加越來越多的安全層,企業(yè)能夠跟上試圖破壞網(wǎng)絡(luò)和信息安全的各種惡意威脅。
由此就產(chǎn)生了一種不可管理的卻宣稱能夠使企業(yè)更安全的產(chǎn)品系統(tǒng),實際上,這些產(chǎn)品采用了一種破壞生產(chǎn)力的“過度防御”的模式。企業(yè)將太多的時間和金錢用于保證網(wǎng)絡(luò)安全的更新上,卻沒有將足夠的時間用于構(gòu)建真正安全的網(wǎng)絡(luò)。如此做法非但沒有創(chuàng)建有更強確定性的網(wǎng)絡(luò),反而創(chuàng)造了一種過度復(fù)雜的網(wǎng)絡(luò)。
例如,大量的所謂新設(shè)備宣稱能夠保護企業(yè)網(wǎng)絡(luò)免受任何特定的威脅。但是,如果出現(xiàn)了一種新威脅,企業(yè)網(wǎng)絡(luò)就增加一個新安全層,網(wǎng)絡(luò)卻不會因此而更安全。
事實是,企業(yè)需要從根本上改變看待安全的思想,需要重置其思考方式,并將關(guān)注的重點不再放在改善網(wǎng)絡(luò)安全上,而應(yīng)放在構(gòu)建安全的網(wǎng)絡(luò)上。雖然部署多層防御很重要,但是企業(yè)應(yīng)將更多的重點放在如何集成、升級、管理公司的安全性上。
就其本質(zhì)而言,安全網(wǎng)絡(luò)應(yīng)關(guān)注自動化和管理。其中包括除防火墻之外的進一步強化,進而決定網(wǎng)絡(luò)中的哪些點有助于阻止威脅。安全網(wǎng)絡(luò)應(yīng)著重于如何更有效地從多個源頭來集成威脅情報,然后自動分析這些信息。最后,安全網(wǎng)絡(luò)需要找到更為集中的管理方法,并且要盡可能廣泛地在公司基礎(chǔ)架構(gòu)中改變策略和規(guī)則。
我們需要改變思考策略、檢測及強化的方式。任何公司都可以關(guān)注如下三個方面來構(gòu)建安全網(wǎng)絡(luò),而不僅僅是改善網(wǎng)絡(luò)安全。
1.開放性的標準和基于意圖的策略引擎。多年以來,業(yè)界一直在談?wù)摻y(tǒng)一策略和統(tǒng)一策略引擎。在不同的策略引擎之間轉(zhuǎn)換策略變得極其困難。安全管理專家至少正在繼承和管理三代設(shè)備,在網(wǎng)絡(luò)的安全覆蓋范圍方面卻幾乎沒有什么明確證據(jù)。我們需要使策略引擎構(gòu)成聯(lián)盟并實現(xiàn)自動化,策略引擎要支持通過開放的標準來交換策略。社區(qū)和業(yè)界應(yīng)大力支持在網(wǎng)絡(luò)安全信息的共享規(guī)范上做出一些開源努力,如TAXII、 STIX、 CybOX等。其中,STIX尤其重視網(wǎng)絡(luò)威脅信息的交換。這可以使我們改變關(guān)于網(wǎng)絡(luò)威脅和惡意行為的一些思想。
2.在任何地方進行檢測的能力。企業(yè)應(yīng)利用最新技術(shù)來更快地確認惡意企圖。首先,對于前面提到的STIX,我們希望能夠利用所有的好情報,在確認威脅和惡意企圖方面掌握實時的信息功能。任何企業(yè)只要擁有基于開放標準的威脅情報交換能力,即掌握了阻止已知威脅的信息。即使擁有一些最好的防火墻和已明確定義的外圍安全策略,也能在局域網(wǎng)內(nèi)部檢測到威脅和惡意企圖。
不幸的是,這些威脅和惡意企圖往往是在安全事件響應(yīng)團隊以某種形式通知公眾后由人工方式發(fā)現(xiàn)的。企業(yè)不應(yīng)當(dāng)調(diào)查網(wǎng)絡(luò),而應(yīng)當(dāng)利用網(wǎng)絡(luò)自身來檢測網(wǎng)絡(luò)威脅和惡意企圖,并立即隔離或阻止惡意企圖在網(wǎng)絡(luò)中的擴散。
3.在任何地方執(zhí)行。如果你能夠在企業(yè)網(wǎng)絡(luò)中的任何地方檢測到威脅,為什么不能夠在那個地方阻止威脅?業(yè)界實現(xiàn)安全的方法是什么?答案是:一直在網(wǎng)絡(luò)的邊緣強化安全。對于移動計算、BYOD、物聯(lián)網(wǎng),從另一個方面來看,外圍就是任何地方。在網(wǎng)絡(luò)的每一個點上去部署另一層安全不但在經(jīng)濟上不可行,而且也不利于運維和管理。為什么不利用網(wǎng)絡(luò)自身?利用網(wǎng)絡(luò)是實施檢測和強化安全的最具有成本效益的高效方法。安全形勢在不斷變化。我們必須摒棄原來考慮網(wǎng)絡(luò)安全的傳統(tǒng)方法。
安全業(yè)界需要在思想上進行根本的變化,充分利用網(wǎng)絡(luò)的每一個方面,以此作為安全檢測和強化的一個關(guān)鍵點。只有通過這種方法,我們才能獲得真正安全的網(wǎng)絡(luò)。
京公網(wǎng)安備 11010502049343號