安全團(tuán)隊(duì)必須改進(jìn)過時(shí)的工具
?用來保護(hù)企業(yè)網(wǎng)絡(luò)的傳統(tǒng)工具在網(wǎng)絡(luò)可見性和保護(hù)它們的能力方面造成了差距。
正如之前所討論的,企業(yè)網(wǎng)絡(luò)已經(jīng)變得原子化,意味著它們是分散的、短暫的、加密的和多樣化的 (DEED)。這些 DEED 環(huán)境和我們用來保護(hù)它們的傳統(tǒng)工具在網(wǎng)絡(luò)可見性和我們保護(hù)它們的能力方面造成了差距。由于三個(gè)主要原因,盲點(diǎn)猖獗。
深度包檢測(cè) (DPI) 正在失去效力。在隱私和安全問題的推動(dòng)下,網(wǎng)絡(luò)流量加密變得無處不在,使我們傳統(tǒng)上使用的許多網(wǎng)絡(luò)可見性和安全工具失明,例如下一代防火墻 (NGFW)、入侵防御系統(tǒng) (IPS) 以及網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)系統(tǒng)。沿著解密路徑走下去的公司,尤其是在受到嚴(yán)格監(jiān)管的行業(yè)中的公司,很快就會(huì)發(fā)現(xiàn),在進(jìn)行持續(xù)檢測(cè)所需的級(jí)別上進(jìn)行解密是有問題的,因?yàn)楸┞兜牧髁靠赡軙?huì)被看到或捕獲。更不用說額外的開銷和性能權(quán)衡。
DPI 也很難擴(kuò)展。在 DEED 環(huán)境中,很難找到部署跨端口的入口點(diǎn)。即使你能弄清楚放置它們的位置,大規(guī)模這樣做也會(huì)產(chǎn)生費(fèi)用和復(fù)雜性。很少有公司對(duì)部署硬件感興趣了。在需要可見性的任何地方部署它很麻煩,需要太多時(shí)間,而且成本高昂,如果不是不可能的話。然而,即使是基于軟件的方法仍然需要構(gòu)建、擴(kuò)展和管理虛擬機(jī) (VM)。它們消除了物理設(shè)備的成本和復(fù)雜性,但是在數(shù)百個(gè)位置添加跨接端口和流量鏡像的提升是一項(xiàng)艱巨的任務(wù)。不可避免地會(huì)存在盲點(diǎn),因?yàn)榫W(wǎng)絡(luò)的某些部分總是超出范圍或無法被 DPI 看到。
云流日志是不同的。各個(gè)云服務(wù)提供商 (CSP) 可以為其特定的云環(huán)境提供良好的可見性機(jī)制。但根據(jù)Flexera 2022 年云狀態(tài)報(bào)告( PDF), 89% 的組織報(bào)告擁有多云戰(zhàn)略,不同的 CSP 提供不同的能力并且都存在差距。此外,幾乎沒有標(biāo)準(zhǔn)存在,因此每個(gè) CSP 提供的數(shù)據(jù)類型、數(shù)據(jù)捕獲方式和可見性級(jí)別各不相同。了解這些差異、哪些差異很重要以及它們是否實(shí)質(zhì)性需要特定的專業(yè)知識(shí)。可見性也被分隔開來,因此看到流量進(jìn)出云層、云層之間甚至云層內(nèi)部都是一項(xiàng)挑戰(zhàn)。找到一種方法將不同的云流日志匯集在一起并規(guī)范化數(shù)據(jù),以便您可以用一組眼睛查看它,而不必在 CSP 之間進(jìn)行上下文切換,這是一項(xiàng)繁重的工作。
端點(diǎn)無處不在,并非所有端點(diǎn)都可以支持代理。端點(diǎn)檢測(cè)和響應(yīng) (EDR) 成為新的熱門工具是有原因的;它解決了很多問題。然而,客戶和潛在客戶告訴我們,他們?cè)诙它c(diǎn)上的 EDR 覆蓋率在 60-70% 之間,不包括路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備。還有許多連接到他們公司網(wǎng)絡(luò)的其他設(shè)備也不支持代理或不受他們控制。想想銷售點(diǎn) (POS) 系統(tǒng)、HVAC 系統(tǒng)、物聯(lián)網(wǎng)設(shè)備和智能電視。此外,由于自帶設(shè)備 (BYOD) 環(huán)境和隨處工作模型引入了通過家庭和 wifi 網(wǎng)絡(luò)連接的其他流氓設(shè)備,因此還有無數(shù)他們甚至不知道的設(shè)備。如果您不能考慮端點(diǎn)的全部組合,就會(huì)存在差距。
改進(jìn)網(wǎng)絡(luò)可見性和安全性方法
為了縮小 DEED 環(huán)境和傳統(tǒng)工具之間的差距,我們需要一種不同的方法,使我們能夠在更高層次上可視化網(wǎng)絡(luò)流量,跨越當(dāng)今使用的環(huán)境和設(shè)備的數(shù)量和類型,而無需捕獲和解密數(shù)據(jù)包。事實(shí)證明,元數(shù)據(jù)和上下文是關(guān)鍵。
流數(shù)據(jù)形式的元數(shù)據(jù)提供了一種被動(dòng)和無代理的方法來跨多云、本地和混合環(huán)境(包括每個(gè) IP 地址和每個(gè)設(shè)備)實(shí)現(xiàn)網(wǎng)絡(luò)流量可見性。而且由于元數(shù)據(jù)提供有關(guān)網(wǎng)絡(luò)流量的信息而不包括敏感或私有數(shù)據(jù),因此您可以收集和存儲(chǔ)它而無需擔(dān)心合規(guī)性或監(jiān)管問題。
將所有流式元數(shù)據(jù)整合到一個(gè)平臺(tái)中,對(duì)其進(jìn)行規(guī)范化,并使用開源數(shù)據(jù)和組織特定的上下文數(shù)據(jù)實(shí)時(shí)豐富它,為不同的團(tuán)隊(duì)提供了一個(gè)去處和一種通用語言來獲取完整的信息發(fā)生了什么。他們可以專注于與他們相關(guān)的內(nèi)容,而無需專業(yè)知識(shí)來理解不同的流數(shù)據(jù),或存儲(chǔ)和查詢平臺(tái)以進(jìn)行可能需要數(shù)小時(shí)才能提供答案的額外查找。
改進(jìn)安全方法以到達(dá)需要到達(dá)的地方,從使用已有的數(shù)據(jù)開始,并為團(tuán)隊(duì)提供一個(gè)地方去獲取所有數(shù)據(jù)的統(tǒng)一視圖和一種通用語言,以便他們可以專注于他們想要解決的問題解決。這是一種少即是多的方法,可以彌補(bǔ)實(shí)時(shí)檢測(cè)、實(shí)時(shí)調(diào)查和實(shí)時(shí)補(bǔ)救方面的差距,并使安全團(tuán)隊(duì)能夠不斷發(fā)展以保護(hù)其原子化網(wǎng)絡(luò)。
