在我IT职业生涯的早期,SunMicrosystems被认为是一个计算机远见者。Sun很早就创造了一个有趣的公司口号:“网络就是计算机”。这是什么意思?这意味着IT基础设施通过以太网电缆和TCP/IP协议与其他网络技术连接在一起,以松散耦合的架构连接在一起。因此,正确设计网络以最大限度地提高网络可用性、性能和业务收益至关重要。是的,自1990年代初期以来,情况发生了变化。有些网络在云端,有些是虚拟的,有些依赖于应用程序到应用程序的连接,但网络仍然以某种方式将IT系统连接在一起。在这个变革过程中,网络安全也必须与时俱进。在我看来,现代网络安全必须支持以下内容:通过端到端覆盖检查入口/出口流量的边界安全已经不够了。必须在所有网段中构建现代网络安全控制,以检查东/西流量、云中的网络流量以及从远程工作人员到软件即服务(SaaS)应用程序的网络流量,这些流量永远不会触及公司网络。换句话说,应该检查所有网络流量。加密/解密能力根据ESG研究,目前50%到60%的网络流量是加密的,未来这一比例还会继续增加。(注:原作者是ESG员工。)这意味着一个全面的网络安全架构必须包括在多个控制点解密和检查流量的能力。现代网络安全技术还应该能够检测到可疑流量,而无需在所有情况下对其进行解密。此功能已包含在Cisco加密流量分析(ETA)等产品和来自Barac.io等供应商的独立解决方案中。以业务为中心的分段减少攻击面应该是所有现代网络安全技术的首要要求。这相当于两个功能:1)在应用层之间分割东/西流量;2)在用户/设备和基于网络的服务之间实施软件定义的边界网络分段规则。这些功能通常被含糊地称为“零信任”。中央控制平面和分布式执法这是“必须具备的”。“所有网络安全控制(即物理的、虚拟的、基于云的)必须向管理活动(即配置管理、策略管理、变更管理等)的公共控制平面报告。中央控制平面可能是基于云的,因此CISO应该为这种变化做好风险规避审计师和业务经理的准备。在中央命令和控制的指导下,网络安全系统必须配备工具来阻止恶意流量并执行策略,而不管它们的位置或形状因素如何。请注意,虽然每个网络安全供应商都将销售自己的集中管理服务,但第三方软件供应商(如FireMon、Skybox和Tufin)可能会发挥作用。全面监控和分析正如古老的安全格言所说,“网络不会说谎”。由于所有网络攻击都使用网络通信作为其杀伤链的一部分,因此安全分析师必须能够端到端地访问OSI堆栈的所有层。端点网络流量分析(NTA)。最好的NTA工具将使用检测规则、启发式方法、脚本语言和机器学习来补充基本流量监控,这些工具可以帮助分析师检测未知威胁并将恶意活动映射到MITREATT&CK框架中。CISO必须投资于广泛的网络,因为有许多强大的解决方案可以从纯粹的初创公司(如Bricata、Corelight、DarkTrace、IronNet、VectraNetworks等)、网络专家(如Cisco、ExtraHop、NETSCOUT等)和网络安全供应商(如Fidelis、FireEye、Lastline、HPE等)。当然要慎重购买!网络安全技术必须支持细粒度的策略和规则,可以根据用户位置、网络配置或新发现的威胁/漏洞等做出即时更改。组织必须能够随时随地根据需要打开/关闭或更改网络安全服务。现代网络安全控制必须能够适应物联网(IoT)设备和协议,这些设备和协议具有与标准操作系统相同的强大策略和执行。最后,网络安全架构必须围绕易于访问的API构建,以便快速集成。SunMicrosystems早已不复存在(现在是Oracle的一部分),但无论网络以任何形式,网络仍然非常重要。现代网络安全架构不仅可以保护所有网络流量,还可以帮助组织减少攻击面,提高威胁检测能力/响应能力,并有助于降低网络风险。
