用来保护企业网络的传统工具在网络可见性和保护它们的能力方面造成了差距。
正如之前所讨论的,企业网络已经变得原子化,这意味着它们是分散的、短暂的、加密的和多样化的 (DEED)。这些 DEED 环境和我们用来保护它们的传统工具在网络可见性和我们保护它们的能力方面造成了差距。由于三个主要原因,盲点猖獗。
深度包检测 (DPI) 正在失去效力。在隐私和安全问题的推动下,网络流量加密变得无处不在,使我们传统上使用的许多网络可见性和安全工具失明,例如下一代防火墙 (NGFW)、入侵防御系统 (IPS) 以及网络检测和响应(NDR)系统。沿着解密路径走下去的公司,尤其是在受到严格监管的行业中的公司,很快就会发现,在进行持续检测所需的级别上进行解密是有问题的,因为暴露的流量可能会被看到或捕获。更不用说额外的开销和性能权衡。
DPI 也很难扩展。在 DEED 环境中,很难找到部署跨端口的入口点。即使你能弄清楚放置它们的位置,大规模这样做也会产生费用和复杂性。很少有公司对部署硬件感兴趣了。在需要可见性的任何地方部署它很麻烦,需要太多时间,而且成本高昂,如果不是不可能的话。然而,即使是基于软件的方法仍然需要构建、扩展和管理虚拟机 (VM)。它们消除了物理设备的成本和复杂性,但是在数百个位置添加跨接端口和流量镜像的提升是一项艰巨的任务。不可避免地会存在盲点,因为网络的某些部分总是超出范围或无法被 DPI 看到。
云流日志是不同的。各个云服务提供商 (CSP) 可以为其特定的云环境提供良好的可见性机制。但根据Flexera 2022 年云状态报告( PDF), 89% 的组织报告拥有多云战略,不同的 CSP 提供不同的能力并且都存在差距。此外,几乎没有标准存在,因此每个 CSP 提供的数据类型、数据捕获方式和可见性级别各不相同。了解这些差异、哪些差异很重要以及它们是否实质性需要特定的专业知识。可见性也被分隔开来,因此看到流量进出云层、云层之间甚至云层内部都是一项挑战。找到一种方法将不同的云流日志汇集在一起并规范化数据,以便您可以用一组眼睛查看它,而不必在 CSP 之间进行上下文切换,这是一项繁重的工作。
端点无处不在,并非所有端点都可以支持代理。端点检测和响应 (EDR) 成为新的热门工具是有原因的;它解决了很多问题。然而,客户和潜在客户告诉我们,他们在端点上的 EDR 覆盖率在 60-70% 之间,不包括路由器和交换机等网络设备。还有许多连接到他们公司网络的其他设备也不支持代理或不受他们控制。想想销售点 (POS) 系统、HVAC 系统、物联网设备和智能电视。此外,由于自带设备 (BYOD) 环境和随处工作模型引入了通过家庭和 wifi 网络连接的其他流氓设备,因此还有无数他们甚至不知道的设备。如果您不能考虑端点的全部组合,就会存在差距。
改进我们的网络可见性和安全性方法
为了缩小 DEED 环境和传统工具之间的差距,我们需要一种不同的方法,使我们能够在更高层次上可视化网络流量,跨越当今使用的环境和设备的数量和类型,而无需捕获和解密数据包。事实证明,元数据和上下文是关键。
流数据形式的元数据提供了一种被动和无代理的方法来跨多云、本地和混合环境(包括每个 IP 地址和每个设备)实现网络流量可见性。而且由于元数据提供有关网络流量的信息而不包括敏感或私有数据,因此您可以收集和存储它而无需担心合规性或监管问题。
将所有流式元数据整合到一个平台中,对其进行规范化,并使用开源数据和组织特定的上下文数据实时丰富它,为不同的团队提供了一个去处和一种通用语言来获取完整的信息发生了什么。他们可以专注于与他们相关的内容,而无需专业知识来理解不同的流数据,或存储和查询平台以进行可能需要数小时才能提供答案的额外查找。
改进我们的安全方法以到达我们需要到达的地方,从使用我们已有的数据开始,并为团队提供一个地方去获取所有数据的统一视图和一种通用语言,以便他们可以专注于他们想要解决的问题解决。这是一种少即是多的方法,可以弥补实时检测、实时调查和实时补救方面的差距,并使安全团队能够不断发展以保护其原子化网络。
编译自:安全周刊
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
回看等级保护:重要政策规范性文件43号文(上) -
网络安全等级保护实施指南培训PPT -
网络安全等级保护安全物理环境测评培训PPT -
网络安全等级保护:等级保护测评过程要求PPT -
网络安全等级保护:安全管理中心测评PPT -
网络安全等级保护:安全管理制度测评PPT -
网络安全等级保护:定级指南与定级工作PPT -
网络安全等级保护:云计算安全扩展测评PPT -
网络安全等级保护:工业控制安全扩展测评PPT -
网络安全等级保护:移动互联安全扩展测评PPT -
网络安全等级保护:第三级网络安全设计技术要求整理汇总 -
网络安全等级保护:等级测评中的渗透测试应该如何做 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
网络安全等级保护:浅谈物理位置选择测评项 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
数据治理和数据安全 -
数据安全风险评估清单 -
成功执行数据安全风险评估的3个步骤 -
美国关键信息基础设施数据泄露的成本 -
备份:网络和数据安全的最后一道防线 -
数据安全:数据安全能力成熟度模型 -
数据安全知识:什么是数据保护以及数据保护为何重要? -
信息安全技术:健康医疗数据安全指南思维导图 -
金融数据安全:数据安全分级指南思维导图 -
金融数据安全:数据生命周期安全规范思维导图 -
-
>>>供应链安全<<< -
美国政府为客户发布软件供应链安全指南 -
OpenSSF 采用微软内置的供应链安全框架 -
供应链安全指南:了解组织为何应关注供应链网络安全 -
供应链安全指南:确定组织中的关键参与者和评估风险 -
供应链安全指南:了解关心的内容并确定其优先级 -
供应链安全指南:为方法创建关键组件 -
供应链安全指南:将方法整合到现有供应商合同中 -
供应链安全指南:将方法应用于新的供应商关系 -
供应链安全指南:建立基础,持续改进。 -
思维导图:ICT供应链安全风险管理指南思维导图 -
英国的供应链网络安全评估 -
>>>其他<<< -
网络安全十大安全漏洞 -
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图 -
网络安全等级保护:应急响应计划规范思维导图 -
安全从组织内部人员开始 -
VMware 发布9.8分高危漏洞补丁 -
影响2022 年网络安全的五个故事 -
2023年的4大网络风险以及如何应对 -
网络安全知识:物流业的网络安全 -
网络安全知识:什么是AAA(认证、授权和记账)? -
信息技术服务:监理之运行维护监理规范思维导图
原文始发于微信公众号(河南等级保护测评):安全团队必须改进过时的工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论