企业网络已经变得原子化——分散、短暂、加密、多样(DEED)。此类DEED环境和我们赖以保护这些环境的常规工具,让我们的网络可见性和防护能力出现了缺口。盲点泛滥,主要原因有三。

深度包检测(DPI)逐渐失效。隐私和安全问题的推动下,网络流量加密变得十分普遍,遮住了许多传统网络可见性工具和安全工具的眼睛,比如下一代防火墙(NGFW)、入侵防御系统(IPS)和网络检测与响应(NDR)系统。走解密路线的公司很快就发现(尤其是所处行业监管严格的公司),进行持续检测所需的解密级别是有问题的,因为暴露的流量可能被看到或捕获。更不用说额外的开销和性能权衡了。

而且,DPI也难以扩展。在DEED环境中,找到部署SPAN端口的入口点没那么简单。即使搞清楚了该在哪里设置,大规模部署也存在成本和复杂性问题。几乎没几家公司还有兴趣部署硬件了。这事儿太麻烦了,很耗时间,而且在需要可见性的每个地方都部署真的很贵。然而,即使是基于软件的方法,也需要构建、扩展和管理虚拟机(VM)。软件方法消除了实体设备的成本和复杂性,但在数百个位置添加SPAN端口和流量镜像同样是一项艰巨的任务。盲点必然存在,因为网络总有些部分是DPI无法看到的。

云流量日志各不相同。各个云服务提供商(CSP)可以为自己特定的云环境提供良好的可见性机制。但Flexera《2022年云状态报告》揭示,89%的企业采用多云策略,不同CSP提供不同功能,但都有所欠缺。此外,这一领域没有什么标准可用,所以各CSP提供的数据类型、数据捕获方式和可见性级别各不相同。需要特定的专业知识才能了解这些差异,知道哪些差异比较重要,以及是否实质性差异。可见性也是各自独立的,所以看到流量从哪儿来到哪儿去,在云内和云间如何流动,确实是个挑战。将不同云流量日志集中到一起并规范化这些数据,以便统一分析而无需在各个CSP之间来回切换上下文,同样是一项繁重的任务。

端点遍布各处,且不是所有端点都支持代理。端点检测与响应(EDR)成为新近热门工具是有原因的:它能解决很多问题。但是,客户和潜在客户表示,他们的端点EDR覆盖率在60%~70%之间,不包括路由器和交换机等网络设备。还有大量其他设备连接到他们的公司网络,同样也不支持代理,或者在他们控制范围之外。比如销售点(POS)系统、暖通空调系统、物联网设备和智能电视。此外,还有很多他们甚至没感知到的设备,因为自带设备办公(BOYD)环境和随时随地工作模式引入了其他流氓设备,这些设备通过家庭网络和WiFi网络接入。只要无法获悉所有端点,漏洞必然存在。

改善网络可见性和安全

为了补上DEED环境和传统工具造成的漏洞,我们需要一种不一样的方法,让我们能够在更高层级可视化网络流量,囊括当前在用各类环境和无数设备,而无需捕获并解密数据包。做到这一点的关键就在于元数据和上下文。

流数据形式的元数据提供了一种无代理的被动方法,可供探知跨多云、本地和混合环境的网络流量,包括每个IP地址和每个设备。而且,由于元数据可以提供关于网络流量的信息,同时又不暴露敏感或隐私数据,收集和存储元数据的时候就不用过多考虑合规和监管问题。

将所有流元数据整合进一个平台,规范化这些数据,并以开源数据和特定于企业的上下文数据实时加以丰富,可以为不同团队全面了解网络流量情况提供通用语言并指明方向。他们可以专注于与自己相关的内容,不需要专业知识来理解不同流数据,也不用存储和查询各个平台,花几个小时来寻找答案。

将安全方法提升到我们所需的水平要从使用我们已经拥有的数据开始,还要给团队提供统一的视图和通用语言查看所有数据,这样他们才能专注于自己想要解决的问题。这种方法重在少而精,可以补上实时检测、实时调查和实时修复的短板,让安全团队能够有所发展,保护好自己治下的原子化网络。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。