改善網絡安全可視性的技巧
獲得正確級別的IT安全可視性,就像是打地鼠的游戲或試圖堵住滲透的管道。
網絡安全產品領域包含大量工具,通常網絡和安全團隊希望部署多種安全工具,并花時間建立安全儀表板–自動從這些工具收集數據,以提供整體可視性。
在本文中,我們將探討可供網絡和安全管理人員使用的改進網絡安全可視性的技巧,包括如何識別潛在的威脅向量以及確保正確的安全工具集。
工具可視性
在解決網絡安全可見性時,網絡和安全團隊應該問的第一個問題是:我們是否擁有必要的工具?
為了回答這個問題,網絡和安全團隊可以使用網絡防御矩陣(Cyber Defense Matrix)來識別功能區域中的漏洞和重復項。Sounil Yu的演講“網絡防御矩陣:網絡安全的科學模型”很好地介紹了其用法。
該矩陣在其水平軸上映射了相關的安全功能,并在垂直軸上顯示了相關的基礎架構組件。可視性主要是關于識別和檢測攻擊,因此請關注“識別和檢測”列中列出的工具。
威脅向量
網絡攻擊通常的形式是:漏洞利用,或通過使用社交工程在企業內部傳播惡意軟件(例如網絡釣魚攻擊)。這導致兩種可能的威脅向量:外部和內部。
外部可視性
網絡和安全團隊必須解決所有可以從外部利用的漏洞。各種供應商都提供安全可視性服務,可識別知名漏洞。這些服務提供對企業外部安全狀況的連續可見性,而僅在某些時候使用滲透測試。
外部安全檢查的產品示例之一是SecurityScorecard,它會生成多方面的報告,使你一目了然。 (免責聲明:NetCraftsmen在我們的安全實踐中使用SecurityScorecard。很多其他公司都提供類似的產品。)
內部可視性
在大型網絡中,內部可視性可能是一個挑戰。訓練有素的團隊需要將工具部署在網絡中的正確位置,并進行正確配置和維護。正確的部署地點通常是網絡聚合點,例如辦公室(LAN)、遠程設施(WAN)和數據中心(高速LAN)之間的互連。當發生滲透時,監視對等攻擊將要求團隊監視設施內子網之間甚至數據中心中VM之間的流量。
內部可視性包括識別以前未知的網絡設備,這可能是由于所謂的影子IT所致。或者,它可以確定要監視的最佳位置,從而提高現有工具的效率。還必須提供對OS補丁程序級別的可見性,并使用這些數據來驅動自動補丁程序系統。如果無法修補系統,則應嚴格將其限制為僅與其他設備進行必需的通信。這將減少惡意軟件的傳播和IoT的危害,因為不良行為者過去一直使用網絡攝像頭和類似的IoT設備進行分布式拒絕服務攻擊。
很多工具專用于內部IT安全可見性,并提供類似于外部安全工具的儀表板。例如,RedSeal可評估企業的網絡并提供彈性評分。(免責聲明:NetCraftsmen在我們的安全實踐中使用RedSeal,但還有很多其他可用的工具。)
安全可視性的配套系統
由于IT安全行業很廣泛,因此團隊無疑需要多種工具來獲得全面的網絡安全可視性。
- 入侵檢測系統(IDS)和入侵防御系統(IPS)。IDS / IPS設備在提供額外可視性方面起著關鍵作用。這些系統以及其他可見性工具的自動化,可以減少管理這些系統的工作量。
- 流數據。團隊需要有關設備之間網絡數據流的信息,以了解惡意軟件的傳播路徑,并設計內部防火墻規則集,這些規則集不會阻礙必要的業務流量。
Arbor Insight、Kentik、Plixer和Tetration等產品可提供流數據分析(例如NetFlow、IPFIX(IP流信息輸出)或sFlow(采樣流)),以識別誰在使用網絡以及正在使用哪種協議。這樣可以輕松地識別必須相互通信的設備,以及攻擊其他設備的受感染設備-即惡意軟件傳播。所需的流量可以通知構建白名單防火墻規則,并且,不必要的流量可以識別受感染的設備。
- 自動化。網絡攻擊和漏洞的規模實在太大,無法手動處理。為了提高效率,企業應該部署和使用自動化系統。自動化系統必須能夠檢測威脅并自動對威脅進行響應,同時向網絡和安全管理人員警告威脅和行動。
- 高管支持。不要忽視企業高管支持。高管需要對安全感興趣并監視其有效性。團隊是否在利用數據信息?哪些安全事件被檢測或避免?訓練有素的團隊是否部署了正確的工具,并有效地利用這些工具?
網絡和安全團隊需要與其他IT部門一起合作才能發揮最大作用。高管可能需要在整個IT領域建立團隊合作文化,讓更多的目光注視著所有IT系統,這會使企業的運作更加順暢。
