今時今日, IT安全已經(jīng)不僅僅是防病毒軟件或防火墻產(chǎn)品了。除了防病毒軟件和防火墻產(chǎn)品以外,市場上有各式各樣一大堆的產(chǎn)品，可用于以不同的方式保護企業(yè)。

[[122466]]

IT安全是一個堆棧，恰如TCP-IP網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器功能擁有堆棧功能一樣。問題是，打造IT安全的最好方法是什么?

Deloitte安全戰(zhàn)略和架構(gòu)主管David Spence認(rèn)為安全堆棧可分為幾層，和諸如網(wǎng)絡(luò)堆棧等大多數(shù)其他技術(shù)堆棧一樣，安全堆棧從應(yīng)用層開始自上而下，基本的東西在底層。

他將顧客和品牌安全技術(shù)放在最高層，具體的產(chǎn)品有諸如查找釣魚網(wǎng)站或在網(wǎng)上搜索冒牌貨時用的產(chǎn)品。

其他層包括身份識別、訪問管理和應(yīng)用安全性。按Spence的分層，網(wǎng)絡(luò)安全(防火墻、入侵檢測系統(tǒng)等)為第四層，而系統(tǒng)安全(不僅是服務(wù)器安全，還包括客戶端設(shè)備和BYOD)為第三層。

他認(rèn)為，靠近堆棧底部的數(shù)據(jù)安全的作用撐起其他所有的安全性。底部的數(shù)據(jù)安全包括使用加密技術(shù)保護存儲的數(shù)據(jù)和處于傳輸中的數(shù)據(jù)。堆棧的底部是安全運算。

IT安全里至少有一個類別是跨越多層的，可能不是跨越所有的層。該類別為云安全。

Spence表示，“可以將不同層混合在一起，或是抽出某一層作為重點考慮。”

生龍活虎!

如果一個企業(yè)需考慮覆蓋IT安全技術(shù)堆棧的所有層，該企業(yè)要做一個重要的抉擇：是找一家涵蓋所有層的供應(yīng)商買一個整合的安全產(chǎn)品(姑且稱之為整合堆棧法)，還是去找不同的廠商(每一個擅長某一方面)買各個層的產(chǎn)品自己打造一個“龐然堆棧”?

Spence稱，這在很大程度上取決于企業(yè)所要解決的問題和企業(yè)的網(wǎng)絡(luò)策略。

他表示，“就我所遇到大多數(shù)情況來看，企業(yè)最終要考慮的是成本。很難去說服生意人不考慮成本。”

總之，花錢少的方法一般來說可以取勝，特別是在安全領(lǐng)域，這一塊沒有什么投資回報。#p#

長處和短處

整合的安全堆棧產(chǎn)品一般來說花錢少，便于管理，或許這樣的產(chǎn)品也不可以提供所有的東西，但至少也可以提供通常所需要的東西。對于那些無復(fù)雜需求的企業(yè)，整合的安全協(xié)議堆棧產(chǎn)品可以提出簡單的解決方案，單一的供應(yīng)商能提供多平臺的支持。

這種整合的東西對一些公司有吸引力，但堆棧解決方案也有潛在的缺點。

托管公司Peer 1的網(wǎng)絡(luò)解決方案架構(gòu)師Liam Enticknap提了個醒，“這樣做是把所有的雞蛋放在一個籃子里。”

“如果失敗，你就完蛋了。進退兩難。抑或必須重建一切，又要花精力和財力。”

Enticknap指，用各層最佳的方案(姑且稱之為最佳產(chǎn)品法)打造IT安全的優(yōu)點是獨立性。他表示，“無需依靠某個固定的供應(yīng)商始終是件好事。”

如果企業(yè)只是購買特定供應(yīng)商的解決方案，可能會有套死在一個供應(yīng)商身上的顧慮。有的供應(yīng)商可能大方一些，也有供應(yīng)商嚴(yán)格控制自己的產(chǎn)品，故意使自己的產(chǎn)品不與其他產(chǎn)品兼容。

利用多個單獨的供應(yīng)商解決方案從成本的角度來看有其可取之處，但有時企業(yè)有特殊的安全需要而不得不用另一種的方法。

安全和規(guī)管廠商Tripwire的首席技術(shù)官Dwayne Melancon和很多能源公司打交道。這一類的公司在IT和業(yè)務(wù)領(lǐng)域要聘用專業(yè)技術(shù)人員。

他表示，“在業(yè)務(wù)技術(shù)方面，這些技術(shù)人員要處理專門針對電網(wǎng)運行環(huán)境的特定邏輯控制器和結(jié)構(gòu)、基礎(chǔ)設(shè)施等等。”

“在這些情況下，你找不到一個你所需要的整合解決方案，所以需利用各層最佳的獨立方案。”

同樣，一個部門里不同的組可以要處理不同的系統(tǒng)和風(fēng)險狀況，因此需要不同供應(yīng)商的產(chǎn)品。

Melancon表示，“所以，你必須構(gòu)造自己的部件。一個方法是看其對企業(yè)的價值，另一個方法是看其影響。我的風(fēng)險形狀是什么?”

Spence表示，利用各層最佳的獨立方案的潛在好處在于可以用上一些別的地方不存在的特定功能，但你必須確保這些功能能派得上用場，有些特定的功能很容易令人眼花繚亂，尤其是在沒有特定目標(biāo)的情況下進行采購時是這樣。

以新一代防火墻為例。一個簡單的防火墻能夠在端口層次上攔截電子郵件，而新一代設(shè)備則可能會更趨細(xì)致化，比如可以允許用戶閱讀電子郵件，但或許不能寫電子郵件，或是可以在工作場所查讀電子郵件，但不能發(fā)送附件。

Spence有如下的提醒，并不是所有的公司買了一堆設(shè)備后就會對其加以充分利用。

他表示，“這些人不會花時間想‘我們擁有這項新技術(shù)，我們怎樣能物盡其用呢?’如果不改變業(yè)務(wù)流程，不改變相應(yīng)的支持程序，那么它是派不上用場的。”

另一方面，最佳產(chǎn)品法無法保證彼此之間很好的兼容。另外還有其他潛在缺點。

Enticknap承認(rèn)，“最佳產(chǎn)品法有不足的地方。會有更多的失誤，供應(yīng)商之間會各有其出錯的地方，要整合可能存在問題。”#p#

集各供應(yīng)商之大成

客戶挑選自己的解決方案，在管理互操作性方面存在挑戰(zhàn)。安全信息和事件管理工具的設(shè)計目標(biāo)是要與多個系統(tǒng)關(guān)聯(lián)，以協(xié)調(diào)各系統(tǒng)之間的運作。

這些工具從不同的來源獲取數(shù)據(jù)，將其規(guī)整，使其能相互兼容，此過程名曰歸一化。

Melanchon的提醒是，“這些工具的花費往往不菲，你依靠他們?yōu)槟愀滤袞|西。”

另一種方法是使用中間件(Middleware)。中間件是一種粘合劑，將不同廠商的最佳產(chǎn)品粘在一起。

邁克菲曽在大部分層上充實了旗下的安全堆棧，今年二月還推出了自己的中間件平臺。邁克菲副總裁兼EMEA首席技術(shù)官Raj Samani解釋說，邁克菲的數(shù)據(jù)交換層(DXL)是一個可以整合第三方安全產(chǎn)品的平臺。

他表示，“我們要將DXL作為管道，或是說管子，在多個廠商之間達成多種安全控制的目的。”

除此以外還正在努力創(chuàng)建標(biāo)準(zhǔn)的信息交換格式，使產(chǎn)品能更容易地進行數(shù)據(jù)交換。

他補充說，數(shù)據(jù)交換層平臺是另一個推出的產(chǎn)品的基礎(chǔ)。產(chǎn)品的名字叫做邁克菲威脅情報交流(McAfee Threat Intelligence Exchange)。基本的想法是從多個來源收集信息，以確認(rèn)處于危險之中的系統(tǒng)。

他表示，“你可以通過查看多個情報來源，真的可以增強安全性。”

坊間也存在其他的做法，目的是建立標(biāo)準(zhǔn)信息交換格式，使各種產(chǎn)品能更容易地相互交流。

研究公司Mitre是個不以營利為目的的公司。Mitre有兩個研究項目，都是由美國國土安全部資助的。兩個項目的名字為：指標(biāo)信息的可信自動交換(TAXII);結(jié)構(gòu)化威脅信息的運算表達(STIX)。Mitre的兵器庫還有別的標(biāo)準(zhǔn)武器，包括用于惡意軟件信息交流的MAEC語言。

TAXII定義了用于交換網(wǎng)絡(luò)威脅信息的協(xié)議， STIX則是這些信息(包括網(wǎng)絡(luò)安全事件)的一種通用格式。

未決問題

企業(yè)是否可以用開源軟件有效地將同類最佳產(chǎn)品拴在一起呢? Melancon認(rèn)為可以。他的理據(jù)是，大家經(jīng)常看到有些公司用開源軟件將最佳的安全組件湊在一起，用作解決一些特定的事。

他表示，“采用最佳產(chǎn)品法的話，就要承擔(dān)審核和安全性測試的負(fù)擔(dān)。”

“那些愿意做出這些額外投資的企業(yè)會被開源所吸引，原因在于采購成本，但這些企業(yè)在運作上要付出額外的費用。”

邁克菲已經(jīng)在使用開源軟件，開源軟件是旗下入侵檢測和預(yù)防系統(tǒng)的一部分。有些諸如工業(yè)控制企業(yè)的特殊定位公司已經(jīng)為一些特定垂直行業(yè)建立了入侵檢測特征(Signature)。

Samani表示，“我們擁有一些特定的入侵檢測特征，可供Snort(開源入侵防御系統(tǒng))使用。”#p#

界線模糊

整合堆棧法和最佳產(chǎn)品法之間的界線往往不是十分明顯。大公司收購小型最佳產(chǎn)品公司以期加強自己的堆棧技術(shù)的事也時有所聞。

小公司也可以相互收購對方，以逐步擴大同類最佳產(chǎn)品，構(gòu)成更廣泛的產(chǎn)品組合。

根據(jù)WatchGuard的安全戰(zhàn)略主管Corey Nachreiner的說法，還存在第三個的做法。各個企業(yè)可以相互結(jié)為合作伙伴，利用同行中不同的解決方案，推出特定的產(chǎn)品。

Watchguard像許多初創(chuàng)公司一樣，開始的時候只擁有一個單一的產(chǎn)品類別——新一代防火墻。但Watchguard知道要長期保持競爭力就必須增加更多的功能。

Nachreiner表示，“在將各種額外的層添加到我們的協(xié)議棧的過程中，我們與同行里最好的企業(yè)結(jié)為合作伙伴。”

Watchguard與其他反病毒軟件結(jié)成合作伙伴關(guān)系，與他們建立了關(guān)系，在入侵防御和網(wǎng)絡(luò)安全等領(lǐng)域里使用其他產(chǎn)品。

他表示，“我們這樣做以后，我知道這些服務(wù)的背后是些大牌。”

Watchguard還在收購安全公司，將被收購公司的技術(shù)添加到旗下的堆棧中，而收購的時機則在很大程度上取決于收購的技術(shù)與堆棧其余部分的關(guān)系。

他表示，“我們添加的東西可不可以商品化?除非在入侵防御領(lǐng)域出現(xiàn)某種新的革命性變化，否則我們沒有理由要收購這一類的公司，所以我們用的是結(jié)盟合作伙伴的方法。”

“但在先進的威脅檢測領(lǐng)域，也許我們會考慮是否應(yīng)該收購某個公司。”

隨著各類公司游走于二者模糊的界線之間，處決于你說的是安全堆棧的哪一部份，你看到的將是一個整合產(chǎn)品和同類最佳產(chǎn)品的混合物。

也有些公司會將堆棧的幾層合為一個單一的產(chǎn)品集(甚至一個單一的產(chǎn)品，如一個設(shè)備)，同時卻又將其他層分成獨立的層。

平滑混合

Melancon指，用該辦法將安全堆棧的不同層混和在一起是可行的，前提是使用該產(chǎn)品的人覺得這樣做有其用處。

他表示，“我見過一些安全套件，合在一起沒什么用處，原因是套件是由一個部門里不同的人處理的。”他提到數(shù)據(jù)庫監(jiān)控和防火墻的例子。

“有搞數(shù)據(jù)庫的人，也有搞網(wǎng)絡(luò)的人，搞網(wǎng)絡(luò)的人對數(shù)據(jù)庫一無所知，你想在這一塊搞混合。”

他補充指出，另一方面，應(yīng)用程序監(jiān)控和防火墻合在一起就有用處，原因是網(wǎng)絡(luò)科技人士往往對如何使用應(yīng)用程序有更好的了解。

Spence還提醒要注意一些廠商可能把水?dāng)嚋啠椿A(chǔ)設(shè)施玩家。

他表示，“很多基本的安全要求不是由傳統(tǒng)的安全廠商交付的。”他說的是一個不太遠(yuǎn)遙遠(yuǎn)的未來的事。 “提供這些將會是經(jīng)典的IT基礎(chǔ)設(shè)施供應(yīng)商。”

例如，思科將一些安全功能置入傳統(tǒng)的網(wǎng)絡(luò)協(xié)議堆棧產(chǎn)品里，如交換機和路由器。微軟也令其最新的產(chǎn)品涵括了重要安全功能。

Spence表示，“在最新的版本中，微軟在自己的產(chǎn)品組合中推出了更多的基本安全要求，如數(shù)據(jù)丟失防護和電子發(fā)現(xiàn)。”

“這些基本的功能所能完成的事，在以前是需要安全廠商來為你完成的。”

事實上，IT部門可能很難從單一供應(yīng)商那采購一套完整的安全堆棧。即便是他們想采取整合堆棧法，他們可能還是必須與幾個公司打交道，才能夠覆蓋他們所想要覆蓋的層。

所以，介于最佳產(chǎn)品法和整合堆棧法的選擇與其說是一個不是白就是黑的選擇，還不如說是一個在一個區(qū)間里定位的選擇。

所以也不要在兩個方面走極端，先看一下第三家是如何評估的，以確保你的安全堆棧正好是你想要的，或至少，安全堆棧缺少的東西不是你所需要的。