獲得正確級(jí)別的IT安全可視性���,就像是打地鼠的游戲或試圖堵住滲透的管道���。
成都創(chuàng)新互聯(lián)是一家專業(yè)提供原陽(yáng)企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作���、成都做網(wǎng)站��、H5場(chǎng)景定制��、小程序制作等業(yè)務(wù)���。10年已為原陽(yáng)眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)�����。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中����。
網(wǎng)絡(luò)安全產(chǎn)品領(lǐng)域包含大量工具��,通常網(wǎng)絡(luò)和安全團(tuán)隊(duì)希望部署多種安全工具���,并花時(shí)間建立安全儀表板–自動(dòng)從這些工具收集數(shù)據(jù),以提供整體可視性���。
在本文中���,我們將探討可供網(wǎng)絡(luò)和安全管理人員使用的改進(jìn)網(wǎng)絡(luò)安全可視性的技巧,包括如何識(shí)別潛在的威脅向量以及確保正確的安全工具集�。
工具可視性
在解決網(wǎng)絡(luò)安全可見性時(shí),網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該問(wèn)的第一個(gè)問(wèn)題是:我們是否擁有必要的工具?
為了回答這個(gè)問(wèn)題�,網(wǎng)絡(luò)和安全團(tuán)隊(duì)可以使用網(wǎng)絡(luò)防御矩陣(Cyber Defense Matrix)來(lái)識(shí)別功能區(qū)域中的漏洞和重復(fù)項(xiàng)。Sounil Yu的演講“網(wǎng)絡(luò)防御矩陣:網(wǎng)絡(luò)安全的科學(xué)模型”很好地介紹了其用法�。
該矩陣在其水平軸上映射了相關(guān)的安全功能,并在垂直軸上顯示了相關(guān)的基礎(chǔ)架構(gòu)組件���。可視性主要是關(guān)于識(shí)別和檢測(cè)攻擊�,因此請(qǐng)關(guān)注“識(shí)別和檢測(cè)”列中列出的工具。
威脅向量
網(wǎng)絡(luò)攻擊通常的形式是:漏洞利用���,或通過(guò)使用社交工程在企業(yè)內(nèi)部傳播惡意軟件(例如網(wǎng)絡(luò)釣魚攻擊)�。這導(dǎo)致兩種可能的威脅向量:外部和內(nèi)部。
外部可視性
網(wǎng)絡(luò)和安全團(tuán)隊(duì)必須解決所有可以從外部利用的漏洞�����。各種供應(yīng)商都提供安全可視性服務(wù)��,可識(shí)別知名漏洞���。這些服務(wù)提供對(duì)企業(yè)外部安全狀況的連續(xù)可見性�,而僅在某些時(shí)候使用滲透測(cè)試�。
外部安全檢查的產(chǎn)品示例之一是SecurityScorecard,它會(huì)生成多方面的報(bào)告��,使你一目了然����。 (免責(zé)聲明:NetCraftsmen在我們的安全實(shí)踐中使用SecurityScorecard。很多其他公司都提供類似的產(chǎn)品�����。)
內(nèi)部可視性
在大型網(wǎng)絡(luò)中�����,內(nèi)部可視性可能是一個(gè)挑戰(zhàn)。訓(xùn)練有素的團(tuán)隊(duì)需要將工具部署在網(wǎng)絡(luò)中的正確位置�,并進(jìn)行正確配置和維護(hù)。正確的部署地點(diǎn)通常是網(wǎng)絡(luò)聚合點(diǎn)�,例如辦公室(LAN)、遠(yuǎn)程設(shè)施(WAN)和數(shù)據(jù)中心(高速LAN)之間的互連�。當(dāng)發(fā)生滲透時(shí),監(jiān)視對(duì)等攻擊將要求團(tuán)隊(duì)監(jiān)視設(shè)施內(nèi)子網(wǎng)之間甚至數(shù)據(jù)中心中VM之間的流量�。
內(nèi)部可視性包括識(shí)別以前未知的網(wǎng)絡(luò)設(shè)備,這可能是由于所謂的影子IT所致�����?;蛘撸梢源_定要監(jiān)視的最佳位置��,從而提高現(xiàn)有工具的效率���。還必須提供對(duì)OS補(bǔ)丁程序級(jí)別的可見性����,并使用這些數(shù)據(jù)來(lái)驅(qū)動(dòng)自動(dòng)補(bǔ)丁程序系統(tǒng)�。如果無(wú)法修補(bǔ)系統(tǒng),則應(yīng)嚴(yán)格將其限制為僅與其他設(shè)備進(jìn)行必需的通信����。這將減少惡意軟件的傳播和IoT的危害,因?yàn)椴涣夹袨檎哌^(guò)去一直使用網(wǎng)絡(luò)攝像頭和類似的IoT設(shè)備進(jìn)行分布式拒絕服務(wù)攻擊�����。
很多工具專用于內(nèi)部IT安全可見性��,并提供類似于外部安全工具的儀表板���。例如�����,RedSeal可評(píng)估企業(yè)的網(wǎng)絡(luò)并提供彈性評(píng)分�����。(免責(zé)聲明:NetCraftsmen在我們的安全實(shí)踐中使用RedSeal��,但還有很多其他可用的工具���。)
安全可視性的配套系統(tǒng)
由于IT安全行業(yè)很廣泛,因此團(tuán)隊(duì)無(wú)疑需要多種工具來(lái)獲得全面的網(wǎng)絡(luò)安全可視性。
- 入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)���。IDS / IPS設(shè)備在提供額外可視性方面起著關(guān)鍵作用���。這些系統(tǒng)以及其他可見性工具的自動(dòng)化,可以減少管理這些系統(tǒng)的工作量��。
- 流數(shù)據(jù)�。團(tuán)隊(duì)需要有關(guān)設(shè)備之間網(wǎng)絡(luò)數(shù)據(jù)流的信息,以了解惡意軟件的傳播路徑���,并設(shè)計(jì)內(nèi)部防火墻規(guī)則集����,這些規(guī)則集不會(huì)阻礙必要的業(yè)務(wù)流量����。
Arbor Insight、Kentik��、Plixer和Tetration等產(chǎn)品可提供流數(shù)據(jù)分析(例如NetFlow��、IPFIX(IP流信息輸出)或sFlow(采樣流))��,以識(shí)別誰(shuí)在使用網(wǎng)絡(luò)以及正在使用哪種協(xié)議。這樣可以輕松地識(shí)別必須相互通信的設(shè)備�,以及攻擊其他設(shè)備的受感染設(shè)備-即惡意軟件傳播。所需的流量可以通知構(gòu)建白名單防火墻規(guī)則�,并且����,不必要的流量可以識(shí)別受感染的設(shè)備。
- 自動(dòng)化�����。網(wǎng)絡(luò)攻擊和漏洞的規(guī)模實(shí)在太大���,無(wú)法手動(dòng)處理���。為了提高效率,企業(yè)應(yīng)該部署和使用自動(dòng)化系統(tǒng)�����。自動(dòng)化系統(tǒng)必須能夠檢測(cè)威脅并自動(dòng)對(duì)威脅進(jìn)行響應(yīng)���,同時(shí)向網(wǎng)絡(luò)和安全管理人員警告威脅和行動(dòng)���。
- 高管支持����。不要忽視企業(yè)高管支持����。高管需要對(duì)安全感興趣并監(jiān)視其有效性。團(tuán)隊(duì)是否在利用數(shù)據(jù)信息?哪些安全事件被檢測(cè)或避免?訓(xùn)練有素的團(tuán)隊(duì)是否部署了正確的工具���,并有效地利用這些工具?
網(wǎng)絡(luò)和安全團(tuán)隊(duì)需要與其他IT部門一起合作才能發(fā)揮最大作用�。高管可能需要在整個(gè)IT領(lǐng)域建立團(tuán)隊(duì)合作文化�,讓更多的目光注視著所有IT系統(tǒng),這會(huì)使企業(yè)的運(yùn)作更加順暢�。
分享文章:改善網(wǎng)絡(luò)安全可視性的技巧
分享地址:
http://uogjgqi.cn/article/cogisei.html
