获得适当级别的IT安全可见性可能就像玩打地鼠游戏或试图堵塞管道以进行渗透。网络安全产品领域包含大量工具,网络和安全团队通常希望部署多种安全工具并花时间构建安全仪表板——自动从这些工具收集数据以提供整体可见性。在本文中,我们将探讨网络和安全经理可用于提高网络安全可见性的技巧,包括如何识别潜在的威胁向量并确保使用正确的安全工具集。工具可见性在解决网络安全可见性问题时,网络和安全团队应该问的第一个问题是:我们是否拥有必要的工具?为了回答这个问题,网络和安全团队可以使用网络防御矩阵)来识别功能区域中的漏洞和重复。SounilYu的演讲“Cyber??DefenseMatrix:AScientificModelforCyber??Security”很好地介绍了它的用法。该矩阵在其水平轴上映射相关的安全功能,在其垂直轴上映射相关的基础设施组件。可见性主要是关于识别和检测攻击,因此请关注“识别和检测”列中列出的工具。威胁向量网络攻击通常采取漏洞利用的形式,或通过使用社会工程(例如网络钓鱼攻击)在企业内传播恶意软件。这导致两种可能的威胁向量:外部和内部。外部可见性网络和安全团队必须解决所有可被外部利用的漏洞。各种供应商提供识别众所周知的漏洞的安全可见性服务。这些服务提供对企业外部安全态势的持续可见性,同时仅在某些时候使用渗透测试。SecurityScorecard就是一个外部安全检查产品的例子,它会生成多方面的报告,让你一目了然。(免责声明:NetCraftsmen在我们的安全实践中使用SecurityScorecard。许多其他公司提供类似的产品。)内部可见性在大型网络中,内部可见性可能是一个挑战。训练有素的团队需要将工具部署在网络中的正确位置,并正确配置和维护它们。正确的部署位置通常是网络汇聚点,例如办公室(局域网)、远程设施(广域网)和数据中心(高速局域网)之间的互连。监控点对点攻击将要求团队在发生渗透时监控设施内子网之间甚至数据中心虚拟机之间的流量。内部可见性包括识别以前未知的网络设备,这可能是由于所谓的影子IT。或者,它可以确定要监控的最佳位置,从而提高现有工具的效率。它还必须提供对操作系统补丁级别的可见性,并使用此数据来驱动自动补丁系统。如果系统无法打补丁,则应严格限制仅与其他设备进行必要的通信。这将减少恶意软件的传播和物联网的危害,因为不良行为者过去曾使用网络摄像头和类似的物联网设备进行分布式拒绝服务攻击。许多工具专用于内部IT安全可见性,并提供类似于外部安全工具的仪表板。例如,RedSeal评估企业的网络并提供弹性评分。(免责声明:NetCraftsmen在我们的安全实践中使用RedSeal,但还有许多其他工具可用。)安全可见性的配套系统由于IT安全行业范围广泛,团队无疑需要多种工具来获得全面的网络视图安全可见性。入侵检测系统(IDS)和入侵防御系统(IPS)。IDS/IPS设备在提供额外可见性方面发挥着关键作用。这些系统的自动化以及其他可见性工具可以减少管理它们所需的工作量。流数据。该团队需要有关设备间网络数据流的信息,以了解恶意软件的传播路径并设计不会阻碍基本业务流量的内部防火墙规则集。ArborInsight、Kentik、Plixer和Tetration等产品提供NetFlow、IPFIX(IP流信息输出)或sFlow(样本流)等流数据分析,以识别谁在使用网络以及使用了哪种协议。这使得识别必须相互通信的设备以及攻击其他设备(即恶意软件传播)的受感染设备变得容易。需要的流量可以通知构建白名单防火墙规则,不需要的流量可以识别受感染的设备。自动化。网络攻击和破坏的规模实在太大,无法手动处理。为了提高效率,企业应该部署和使用自动化系统。自动化系统必须能够检测威胁并自动响应它们,同时提醒网络和安全管理员注意威胁和行动。行政支持。不要忽视企业高管的支持。高管需要关注安全并监控其有效性。团队是否在利用数据信息?正在检测或避免哪些安全事件?训练有素的团队是否部署了正确的工具并有效地使用它们?网络和安全团队需要与其他IT部门通力合作才能发挥最大作用。高管们可能需要建立一种跨IT团队合作的文化,让更多的目光关注所有IT系统,这将使业务运行得更加顺畅。
