今時(shí)今日, IT安全已經(jīng)不僅僅是防病毒軟件或防火墻產(chǎn)品了。除了防病毒軟件和防火墻產(chǎn)品以外,市場上有各式各樣一大堆的產(chǎn)品，可用于以不同的方式保護(hù)企業(yè)。

[[122466]]

IT安全是一個(gè)堆棧，恰如TCP-IP網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器功能擁有堆棧功能一樣。問題是，打造IT安全的最好方法是什么?

Deloitte安全戰(zhàn)略和架構(gòu)主管David Spence認(rèn)為安全堆?？煞譃閹讓樱椭T如網(wǎng)絡(luò)堆棧等大多數(shù)其他技術(shù)堆棧一樣，安全堆棧從應(yīng)用層開始自上而下，基本的東西在底層。

他將顧客和品牌安全技術(shù)放在最高層，具體的產(chǎn)品有諸如查找釣魚網(wǎng)站或在網(wǎng)上搜索冒牌貨時(shí)用的產(chǎn)品。

其他層包括身份識(shí)別、訪問管理和應(yīng)用安全性。按Spence的分層，網(wǎng)絡(luò)安全(防火墻、入侵檢測系統(tǒng)等)為第四層，而系統(tǒng)安全(不僅是服務(wù)器安全，還包括客戶端設(shè)備和BYOD)為第三層。

他認(rèn)為，靠近堆棧底部的數(shù)據(jù)安全的作用撐起其他所有的安全性。底部的數(shù)據(jù)安全包括使用加密技術(shù)保護(hù)存儲(chǔ)的數(shù)據(jù)和處于傳輸中的數(shù)據(jù)。堆棧的底部是安全運(yùn)算。

IT安全里至少有一個(gè)類別是跨越多層的，可能不是跨越所有的層。該類別為云安全。

Spence表示，“可以將不同層混合在一起，或是抽出某一層作為重點(diǎn)考慮。”

生龍活虎!

如果一個(gè)企業(yè)需考慮覆蓋IT安全技術(shù)堆棧的所有層，該企業(yè)要做一個(gè)重要的抉擇：是找一家涵蓋所有層的供應(yīng)商買一個(gè)整合的安全產(chǎn)品(姑且稱之為整合堆棧法)，還是去找不同的廠商(每一個(gè)擅長某一方面)買各個(gè)層的產(chǎn)品自己打造一個(gè)“龐然堆棧”?

Spence稱，這在很大程度上取決于企業(yè)所要解決的問題和企業(yè)的網(wǎng)絡(luò)策略。

他表示，“就我所遇到大多數(shù)情況來看，企業(yè)最終要考慮的是成本。很難去說服生意人不考慮成本。”

總之，花錢少的方法一般來說可以取勝，特別是在安全領(lǐng)域，這一塊沒有什么投資回報(bào)。#p#

長處和短處

整合的安全堆棧產(chǎn)品一般來說花錢少，便于管理，或許這樣的產(chǎn)品也不可以提供所有的東西，但至少也可以提供通常所需要的東西。對(duì)于那些無復(fù)雜需求的企業(yè)，整合的安全協(xié)議堆棧產(chǎn)品可以提出簡單的解決方案，單一的供應(yīng)商能提供多平臺(tái)的支持。

這種整合的東西對(duì)一些公司有吸引力，但堆棧解決方案也有潛在的缺點(diǎn)。

托管公司Peer 1的網(wǎng)絡(luò)解決方案架構(gòu)師Liam Enticknap提了個(gè)醒，“這樣做是把所有的雞蛋放在一個(gè)籃子里。”

“如果失敗，你就完蛋了。進(jìn)退兩難。抑或必須重建一切，又要花精力和財(cái)力。”

Enticknap指，用各層最佳的方案(姑且稱之為最佳產(chǎn)品法)打造IT安全的優(yōu)點(diǎn)是獨(dú)立性。他表示，“無需依靠某個(gè)固定的供應(yīng)商始終是件好事。”

如果企業(yè)只是購買特定供應(yīng)商的解決方案，可能會(huì)有套死在一個(gè)供應(yīng)商身上的顧慮。有的供應(yīng)商可能大方一些，也有供應(yīng)商嚴(yán)格控制自己的產(chǎn)品，故意使自己的產(chǎn)品不與其他產(chǎn)品兼容。

利用多個(gè)單獨(dú)的供應(yīng)商解決方案從成本的角度來看有其可取之處，但有時(shí)企業(yè)有特殊的安全需要而不得不用另一種的方法。

安全和規(guī)管廠商Tripwire的首席技術(shù)官Dwayne Melancon和很多能源公司打交道。這一類的公司在IT和業(yè)務(wù)領(lǐng)域要聘用專業(yè)技術(shù)人員。

他表示，“在業(yè)務(wù)技術(shù)方面，這些技術(shù)人員要處理專門針對(duì)電網(wǎng)運(yùn)行環(huán)境的特定邏輯控制器和結(jié)構(gòu)、基礎(chǔ)設(shè)施等等。”

“在這些情況下，你找不到一個(gè)你所需要的整合解決方案，所以需利用各層最佳的獨(dú)立方案。”

同樣，一個(gè)部門里不同的組可以要處理不同的系統(tǒng)和風(fēng)險(xiǎn)狀況，因此需要不同供應(yīng)商的產(chǎn)品。

Melancon表示，“所以，你必須構(gòu)造自己的部件。一個(gè)方法是看其對(duì)企業(yè)的價(jià)值，另一個(gè)方法是看其影響。我的風(fēng)險(xiǎn)形狀是什么?”

Spence表示，利用各層最佳的獨(dú)立方案的潛在好處在于可以用上一些別的地方不存在的特定功能，但你必須確保這些功能能派得上用場，有些特定的功能很容易令人眼花繚亂，尤其是在沒有特定目標(biāo)的情況下進(jìn)行采購時(shí)是這樣。

以新一代防火墻為例。一個(gè)簡單的防火墻能夠在端口層次上攔截電子郵件，而新一代設(shè)備則可能會(huì)更趨細(xì)致化，比如可以允許用戶閱讀電子郵件，但或許不能寫電子郵件，或是可以在工作場所查讀電子郵件，但不能發(fā)送附件。

Spence有如下的提醒，并不是所有的公司買了一堆設(shè)備后就會(huì)對(duì)其加以充分利用。

他表示，“這些人不會(huì)花時(shí)間想‘我們擁有這項(xiàng)新技術(shù)，我們?cè)鯓幽芪锉M其用呢?’如果不改變業(yè)務(wù)流程，不改變相應(yīng)的支持程序，那么它是派不上用場的。”

另一方面，最佳產(chǎn)品法無法保證彼此之間很好的兼容。另外還有其他潛在缺點(diǎn)。

Enticknap承認(rèn)，“最佳產(chǎn)品法有不足的地方。會(huì)有更多的失誤，供應(yīng)商之間會(huì)各有其出錯(cuò)的地方，要整合可能存在問題。”#p#

集各供應(yīng)商之大成

客戶挑選自己的解決方案，在管理互操作性方面存在挑戰(zhàn)。安全信息和事件管理工具的設(shè)計(jì)目標(biāo)是要與多個(gè)系統(tǒng)關(guān)聯(lián)，以協(xié)調(diào)各系統(tǒng)之間的運(yùn)作。

這些工具從不同的來源獲取數(shù)據(jù)，將其規(guī)整，使其能相互兼容，此過程名曰歸一化。

Melanchon的提醒是，“這些工具的花費(fèi)往往不菲，你依靠他們?yōu)槟愀滤袞|西。”

另一種方法是使用中間件(Middleware)。中間件是一種粘合劑，將不同廠商的最佳產(chǎn)品粘在一起。

邁克菲曽在大部分層上充實(shí)了旗下的安全堆棧，今年二月還推出了自己的中間件平臺(tái)。邁克菲副總裁兼EMEA首席技術(shù)官Raj Samani解釋說，邁克菲的數(shù)據(jù)交換層(DXL)是一個(gè)可以整合第三方安全產(chǎn)品的平臺(tái)。

他表示，“我們要將DXL作為管道，或是說管子，在多個(gè)廠商之間達(dá)成多種安全控制的目的。”

除此以外還正在努力創(chuàng)建標(biāo)準(zhǔn)的信息交換格式，使產(chǎn)品能更容易地進(jìn)行數(shù)據(jù)交換。

他補(bǔ)充說，數(shù)據(jù)交換層平臺(tái)是另一個(gè)推出的產(chǎn)品的基礎(chǔ)。產(chǎn)品的名字叫做邁克菲威脅情報(bào)交流(McAfee Threat Intelligence Exchange)?；镜南敕ㄊ菑亩鄠€(gè)來源收集信息，以確認(rèn)處于危險(xiǎn)之中的系統(tǒng)。

他表示，“你可以通過查看多個(gè)情報(bào)來源，真的可以增強(qiáng)安全性。”

坊間也存在其他的做法，目的是建立標(biāo)準(zhǔn)信息交換格式，使各種產(chǎn)品能更容易地相互交流。

研究公司Mitre是個(gè)不以營利為目的的公司。Mitre有兩個(gè)研究項(xiàng)目，都是由美國國土安全部資助的。兩個(gè)項(xiàng)目的名字為：指標(biāo)信息的可信自動(dòng)交換(TAXII);結(jié)構(gòu)化威脅信息的運(yùn)算表達(dá)(STIX)。Mitre的兵器庫還有別的標(biāo)準(zhǔn)武器，包括用于惡意軟件信息交流的MAEC語言。

TAXII定義了用于交換網(wǎng)絡(luò)威脅信息的協(xié)議， STIX則是這些信息(包括網(wǎng)絡(luò)安全事件)的一種通用格式。

未決問題

企業(yè)是否可以用開源軟件有效地將同類最佳產(chǎn)品拴在一起呢? Melancon認(rèn)為可以。他的理據(jù)是，大家經(jīng)常看到有些公司用開源軟件將最佳的安全組件湊在一起，用作解決一些特定的事。

他表示，“采用最佳產(chǎn)品法的話，就要承擔(dān)審核和安全性測試的負(fù)擔(dān)。”

“那些愿意做出這些額外投資的企業(yè)會(huì)被開源所吸引，原因在于采購成本，但這些企業(yè)在運(yùn)作上要付出額外的費(fèi)用。”

邁克菲已經(jīng)在使用開源軟件，開源軟件是旗下入侵檢測和預(yù)防系統(tǒng)的一部分。有些諸如工業(yè)控制企業(yè)的特殊定位公司已經(jīng)為一些特定垂直行業(yè)建立了入侵檢測特征(Signature)。

Samani表示，“我們擁有一些特定的入侵檢測特征，可供Snort(開源入侵防御系統(tǒng))使用。”#p#

界線模糊

整合堆棧法和最佳產(chǎn)品法之間的界線往往不是十分明顯。大公司收購小型最佳產(chǎn)品公司以期加強(qiáng)自己的堆棧技術(shù)的事也時(shí)有所聞。

小公司也可以相互收購對(duì)方，以逐步擴(kuò)大同類最佳產(chǎn)品，構(gòu)成更廣泛的產(chǎn)品組合。

根據(jù)WatchGuard的安全戰(zhàn)略主管Corey Nachreiner的說法，還存在第三個(gè)的做法。各個(gè)企業(yè)可以相互結(jié)為合作伙伴，利用同行中不同的解決方案，推出特定的產(chǎn)品。

Watchguard像許多初創(chuàng)公司一樣，開始的時(shí)候只擁有一個(gè)單一的產(chǎn)品類別——新一代防火墻。但Watchguard知道要長期保持競爭力就必須增加更多的功能。

Nachreiner表示，“在將各種額外的層添加到我們的協(xié)議棧的過程中，我們與同行里最好的企業(yè)結(jié)為合作伙伴。”

Watchguard與其他反病毒軟件結(jié)成合作伙伴關(guān)系，與他們建立了關(guān)系，在入侵防御和網(wǎng)絡(luò)安全等領(lǐng)域里使用其他產(chǎn)品。

他表示，“我們這樣做以后，我知道這些服務(wù)的背后是些大牌。”

Watchguard還在收購安全公司，將被收購公司的技術(shù)添加到旗下的堆棧中，而收購的時(shí)機(jī)則在很大程度上取決于收購的技術(shù)與堆棧其余部分的關(guān)系。

他表示，“我們添加的東西可不可以商品化?除非在入侵防御領(lǐng)域出現(xiàn)某種新的革命性變化，否則我們沒有理由要收購這一類的公司，所以我們用的是結(jié)盟合作伙伴的方法。”

“但在先進(jìn)的威脅檢測領(lǐng)域，也許我們會(huì)考慮是否應(yīng)該收購某個(gè)公司。”

隨著各類公司游走于二者模糊的界線之間，處決于你說的是安全堆棧的哪一部份，你看到的將是一個(gè)整合產(chǎn)品和同類最佳產(chǎn)品的混合物。

也有些公司會(huì)將堆棧的幾層合為一個(gè)單一的產(chǎn)品集(甚至一個(gè)單一的產(chǎn)品，如一個(gè)設(shè)備)，同時(shí)卻又將其他層分成獨(dú)立的層。

平滑混合

Melancon指，用該辦法將安全堆棧的不同層混和在一起是可行的，前提是使用該產(chǎn)品的人覺得這樣做有其用處。

他表示，“我見過一些安全套件，合在一起沒什么用處，原因是套件是由一個(gè)部門里不同的人處理的。”他提到數(shù)據(jù)庫監(jiān)控和防火墻的例子。

“有搞數(shù)據(jù)庫的人，也有搞網(wǎng)絡(luò)的人，搞網(wǎng)絡(luò)的人對(duì)數(shù)據(jù)庫一無所知，你想在這一塊搞混合。”

他補(bǔ)充指出，另一方面，應(yīng)用程序監(jiān)控和防火墻合在一起就有用處，原因是網(wǎng)絡(luò)科技人士往往對(duì)如何使用應(yīng)用程序有更好的了解。

Spence還提醒要注意一些廠商可能把水?dāng)嚋啠椿A(chǔ)設(shè)施玩家。

他表示，“很多基本的安全要求不是由傳統(tǒng)的安全廠商交付的。”他說的是一個(gè)不太遠(yuǎn)遙遠(yuǎn)的未來的事。 “提供這些將會(huì)是經(jīng)典的IT基礎(chǔ)設(shè)施供應(yīng)商。”

例如，思科將一些安全功能置入傳統(tǒng)的網(wǎng)絡(luò)協(xié)議堆棧產(chǎn)品里，如交換機(jī)和路由器。微軟也令其最新的產(chǎn)品涵括了重要安全功能。

Spence表示，“在最新的版本中，微軟在自己的產(chǎn)品組合中推出了更多的基本安全要求，如數(shù)據(jù)丟失防護(hù)和電子發(fā)現(xiàn)。”

“這些基本的功能所能完成的事，在以前是需要安全廠商來為你完成的。”

事實(shí)上，IT部門可能很難從單一供應(yīng)商那采購一套完整的安全堆棧。即便是他們想采取整合堆棧法，他們可能還是必須與幾個(gè)公司打交道，才能夠覆蓋他們所想要覆蓋的層。

所以，介于最佳產(chǎn)品法和整合堆棧法的選擇與其說是一個(gè)不是白就是黑的選擇，還不如說是一個(gè)在一個(gè)區(qū)間里定位的選擇。

所以也不要在兩個(gè)方面走極端，先看一下第三家是如何評(píng)估的，以確保你的安全堆棧正好是你想要的，或至少，安全堆棧缺少的東西不是你所需要的。