网络安全领域正处于向智能解决方案过渡的早期阶段。人工智能和机器学习已经对数据中心产生了巨大的影响,这在网络安全领域表现得最为明显。智能和自动化已经在创建和管理智能实时微分段策略、分析网络流量中的可疑活动或异常数据移动以及管理最低权限和零信任环境中的访问方面发挥重要作用。总部位于波士顿的Goulston&Storrs律师事务所转向智能网络安全解决方案来保护其数据中心,因为专注于保护组织外围的标准解决方案存在致命缺陷。该公司首席信息官JohnArsneault表示,“传统方法缺乏的是知道事件发生后发生了什么。许多公司可能不知道他们已经遭受攻击几个月了。攻击者试图攻击他们网络上的主机和应用程序。程序,并获取重要数据。”他说,“微监控技术等新的网络安全技术提供了第二道防线,如果网络攻击者真的掌握了用户凭证,或者利用企业的IT漏洞,这些企业的运营将受到很大影响”微分段的问题在于它需要企业花费大量时间和精力。“人们跟不上网络安全的发展,往往更加开放和脆弱,”他说。“即使网络工程师或安全人员工程师致力于跟上发展和变化,这非常困难。”律师事务所Goulston&Storrs想要更好的网络安全,但又不想增加更多的员工。“更多的数据、更多的流量、更多的工作量和更多的员工需要管理网络IT已成为安全行业的共同呼声,”JuniperNetworks安全战略总监劳伦斯·皮特(LaurencePitt)说。这些并不是新的挑战,并补充说,由于不断加快的变化速度和增加的复杂性,安全性正在下降。他说:“通过将威胁情报和自动化嵌入到每个路由器、交换机、网关和无线接入点中,网络需要成为安全人员的第一道防线。”NetworkSegmentation网络的思想分段是网络的不同部分之间有一道屏障,就像物理上的“气隙”,不允许流量进入。或者它们可以是虚拟的,以防火墙、加密隧道和类似技术的形式出现。在瞬息万变的现代数据中心环境中,无需人工智能工具即可有效管理微分段。EdgewiseNetworks工程副总裁TomHickman表示:“过去我们每年发布一个版本,今年6月我们在7天内发布了九个版本。每一个事件都是网络技术的重大变革。今天,企业必须有一种响应动态变化的技术,这就是自我配置。”智能解决方案通过两种方式解决这些问题。首先,算法用于映射网络中的流量并提取网络行为的一般规则供分析人员审查。例如,某些类型的应用程序与某些类型的后端数据库进行通信。所使用的技术生成地图通常是聚类分析的一些变体,这是一种用于识别相似项目组的机器学习技术。类似的算法用于电子商务推荐引擎和自动识别客户群的营销工具。然后使用该映射生成虚拟以符合数据中心风险偏好的方式平衡可用性和安全性的网段。如果新流量攻击网段但符合预先批准的策略,则会自动重新分段。如果新流量超出允许范围,它被网络管理员或安全分析师标记为进一步关注。Arsnault说Goulston&Storrs律师事务所决定采用Edgewise的微监控技术,并能够在不增加员工的情况下推出全面的微监控措施。这包括公司的所有虚拟机、服务器、主机、用户,以及软件可以采用的每条路径——总共有125,000种不同的保护方式。“凭借其机器学习组件,人们只需按一下按钮就可以保护一切。它将继续学习网络,并将不断更新适用于微细分的策略。它将带走人力资源,这是一个巨大的负担,会大大减少员工的时间和精力。”混合云使分段变得更加困难与此同时,保护网络安全的挑战不断演变。IT服务经理InterVisionSystems的安全专业服务总监DerekBrost表示,混合环境中的分段要复杂得多。如果数据中心是一个混合操作,具有多个基于云的本地环境和相互竞争(或不兼容)的网络技术,可能难以以有组织的方式管理网段和访问控制。“安全经理可能需要避免只关注网络,”他说。“将微分段从网络中分离出来并卸载到各个端点系统将是非常有益的。”函数(也称为无服务器函数或lambda函数)使难度更上一层楼。云函数是在云函数平台(例如亚马逊、谷歌或微软提供的平台)中运行的一小段代码。没有虚拟机可以安装安全工具,甚至没有容器。Edgewise的Hickman说,“我认为这可能是我看到的最重要的事情,它将迫使从业者真正评估他们当前的安全模型和解决方案。”我们只是基础镜像的一部分,克隆出来的,代理在实例化的时候就在那里。”他说,“Edgewise的微分段技术目前还不支持云计算能力。但我们正在试验研究和开发。”异常和不良行为异常检测是另一种流行的机器学习算法。例如,在网络流量的情况下,监控系统将监控数据中心的正常运行,并深入了解每天、每周或每月发生的情况。一旦经过训练,它就会寻找与基线不匹配的新行为。例如,如果营销部门的用户突然开始从位于俄罗斯的计算机访问财务数据库,这可能表明某些帐户已被盗用。传统方法是查找已知不良行为、已知恶意软件或尝试访问已知与黑客相关的站点的特定实例。“基于签名的系统寻找特定的东西,如果他们看到它,就会标记或阻止它,”安全供应商SignalSciences的联合创始人兼CSOZaneLackey说。当事情发生变化时没关系。但如果你今天问CISO或CTO关于他们的运营环境,他们会说它正在以惊人的速度变化。”他说:“这需要多代技术。这是必须发生的真正转变。”但是,他告诫不要使用某些基于人工智能的方法,因为应用程序的变化速度比人工智能模型的训练速度更快。快的。“你需要了解它是否真的在解决人们看到的挑战,”他说。智能访问管理Lacke说,“网络安全是当今运行数据中心的任何人面临的根本挑战。为了实现这一目标,可信网络概念正在被零信任模型所取代。人们不再仅仅因为信任是理所当然的在网上。”这意味着对设备和应用程序的访问需要非常有限和严格控制,每个新连接都需要新的身份验证步骤。这对于传统访问管理平台来说是一项艰巨的任务。“你如何限制对单一服务实际需要的访问?在我与全球2000强公司首席信息安全官的谈话中,这是最热门的话题之一,”拉基说。
