是的,自上世紀(jì)90年代初以來,情況已經(jīng)發(fā)生了變化。有些網(wǎng)絡(luò)位于云中,有些是虛擬的,有些依賴于應(yīng)用程序到應(yīng)用程序的連接,但是網(wǎng)絡(luò)仍然以某種方式將IT系統(tǒng)連接在一起。
在這一變革過程中,網(wǎng)絡(luò)安全也不得不與時(shí)俱進(jìn)。在我看來,現(xiàn)代網(wǎng)絡(luò)安全必須支持以下幾點(diǎn):
端到端覆蓋
檢查入口/出口流量的周邊安全性已經(jīng)不夠了。必須將現(xiàn)代網(wǎng)絡(luò)安全控制裝入所有網(wǎng)段,以檢查東/西流量,云中的網(wǎng)絡(luò)通信,以及從遠(yuǎn)程工作者到軟件即服務(wù)(SaaS)應(yīng)用的網(wǎng)絡(luò)通信,其中流量從不接觸公司網(wǎng)絡(luò)。換句話說,應(yīng)檢查所有網(wǎng)絡(luò)流量。
加密/解密功能
根據(jù)ESG的研究,目前50%到60%的網(wǎng)絡(luò)流量是加密的,而且未來還將繼續(xù)增加。(注:原作者為ESG員工。)這意味著一個(gè)全面的網(wǎng)絡(luò)安全體系結(jié)構(gòu)必須包括在多個(gè)控制點(diǎn)解密和檢查流量的能力。現(xiàn)代網(wǎng)絡(luò)安全技術(shù)也應(yīng)該能夠檢測可疑流量,而不需要在所有情況下解密。這種功能已經(jīng)包含在思科加密流量分析(ETA)等產(chǎn)品和Barac.io等供應(yīng)商提供的獨(dú)立解決方案中。
以業(yè)務(wù)為中心的分割
減少攻擊面應(yīng)該是所有現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的首要要求。這相當(dāng)于兩個(gè)功能:1)在應(yīng)用層之間分割東/西流量;2)在用戶/設(shè)備和基于網(wǎng)絡(luò)的服務(wù)之間強(qiáng)制執(zhí)行軟件定義的外圍網(wǎng)絡(luò)分割規(guī)則。這些功能常常被含糊地稱為“零信任”。
中央控制平面和分布式執(zhí)法
這個(gè)是“必備的”。“所有網(wǎng)絡(luò)安全控制(即物理的、虛擬的、基于云的)必須報(bào)告到管理活動(dòng)的公共控制平面(即配置管理、策略管理、變更管理等)。中央控制平面很可能是基于云的,所以CISO應(yīng)該準(zhǔn)備好規(guī)避風(fēng)險(xiǎn)的審計(jì)人員和業(yè)務(wù)經(jīng)理來應(yīng)對(duì)這一變化。有了中央指揮和控制的指示,網(wǎng)絡(luò)安全系統(tǒng)必須被檢測以阻止惡意流量,并執(zhí)行策略,而不管它們的位置或形式因素。請(qǐng)注意,雖然每個(gè)網(wǎng)絡(luò)安全供應(yīng)商都將推銷自己的中央管理服務(wù),但第三方軟件供應(yīng)商(如FireMon、Skybox和Tufin)可能會(huì)在其中發(fā)揮作用。
全面的監(jiān)控和分析
正如一句古老的安全諺語所說:“網(wǎng)絡(luò)不會(huì)說謊。”“由于所有網(wǎng)絡(luò)攻擊都使用網(wǎng)絡(luò)通信作為其殺傷鏈的一部分,安全分析師必須能夠訪問OSI堆棧所有層的端到端網(wǎng)絡(luò)流量分析(NTA)。最好的NTA工具將用檢測規(guī)則、啟發(fā)式、腳本語言和機(jī)器學(xué)習(xí)來補(bǔ)充基本的流量監(jiān)控,這些工具可以幫助分析人員檢測未知的威脅,并將惡意活動(dòng)映射到MITREATT&CK框架中。CISO必須投入廣泛的網(wǎng)絡(luò),因?yàn)橛泻芏鄰?qiáng)大的解決方案可以從純游戲的初創(chuàng)公司(如Bricata、Corelight、DarkTrace、IronNet、VectraNetworks等)、網(wǎng)絡(luò)專家(如思科、ExtraHop、NETSCOUT等)和網(wǎng)絡(luò)安全供應(yīng)商(如Fidelis、FireEye、Lastline、HPE等)中選擇。當(dāng)然要慎重購買!
網(wǎng)絡(luò)安全技術(shù)必須支持細(xì)粒度策略和規(guī)則,可以根據(jù)用戶位置、網(wǎng)絡(luò)配置或新發(fā)現(xiàn)的威脅/漏洞等方面的變化進(jìn)行即時(shí)更改。組織必須能夠在任何需要的時(shí)候或任何地方啟動(dòng)/關(guān)閉或更改網(wǎng)絡(luò)安全服務(wù)。現(xiàn)代網(wǎng)絡(luò)安全控制必須能夠適應(yīng)物聯(lián)網(wǎng)(IoT)設(shè)備和協(xié)議,這些設(shè)備和協(xié)議具有與標(biāo)準(zhǔn)操作系統(tǒng)相同的強(qiáng)有力的策略和實(shí)施。最后,必須圍繞易于訪問的API構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu),以實(shí)現(xiàn)快速集成。
SunMicrosystems早已不復(fù)存在(現(xiàn)在是Oracle的一部分),但是無論網(wǎng)絡(luò)的形式如何,網(wǎng)絡(luò)仍然非常重要。現(xiàn)代網(wǎng)絡(luò)安全體系結(jié)構(gòu)不僅可以保護(hù)所有的網(wǎng)絡(luò)流量,還可以幫助組織減少攻擊面,提高威脅檢測/響應(yīng)能力,幫助降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。
