獲得正確級(jí)別的IT安全可視性，就像是打地鼠的游戲或試圖堵住滲透的管道。

網(wǎng)絡(luò)安全產(chǎn)品領(lǐng)域包含大量工具，通常網(wǎng)絡(luò)和安全團(tuán)隊(duì)希望部署多種安全工具，并花時(shí)間建立安全儀表板–自動(dòng)從這些工具收集數(shù)據(jù)，以提供整體可視性。

在本文中，我們將探討可供網(wǎng)絡(luò)和安全管理人員使用的改進(jìn)網(wǎng)絡(luò)安全可視性的技巧，包括如何識(shí)別潛在的威脅向量以及確保正確的安全工具集。

[[322687]]

工具可視性

在解決網(wǎng)絡(luò)安全可見性時(shí)，網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該問的第一個(gè)問題是：我們是否擁有必要的工具?

為了回答這個(gè)問題，網(wǎng)絡(luò)和安全團(tuán)隊(duì)可以使用網(wǎng)絡(luò)防御矩陣(Cyber Defense Matrix)來識(shí)別功能區(qū)域中的漏洞和重復(fù)項(xiàng)。Sounil Yu的演講“網(wǎng)絡(luò)防御矩陣：網(wǎng)絡(luò)安全的科學(xué)模型”很好地介紹了其用法。

該矩陣在其水平軸上映射了相關(guān)的安全功能，并在垂直軸上顯示了相關(guān)的基礎(chǔ)架構(gòu)組件?？梢曅灾饕顷P(guān)于識(shí)別和檢測(cè)攻擊，因此請(qǐng)關(guān)注“識(shí)別和檢測(cè)”列中列出的工具。

威脅向量

網(wǎng)絡(luò)攻擊通常的形式是：漏洞利用，或通過使用社交工程在企業(yè)內(nèi)部傳播惡意軟件(例如網(wǎng)絡(luò)釣魚攻擊)。這導(dǎo)致兩種可能的威脅向量：外部和內(nèi)部。

外部可視性

網(wǎng)絡(luò)和安全團(tuán)隊(duì)必須解決所有可以從外部利用的漏洞。各種供應(yīng)商都提供安全可視性服務(wù)，可識(shí)別知名漏洞。這些服務(wù)提供對(duì)企業(yè)外部安全狀況的連續(xù)可見性，而僅在某些時(shí)候使用滲透測(cè)試。

外部安全檢查的產(chǎn)品示例之一是SecurityScorecard，它會(huì)生成多方面的報(bào)告，使你一目了然。 (免責(zé)聲明：NetCraftsmen在我們的安全實(shí)踐中使用SecurityScorecard。很多其他公司都提供類似的產(chǎn)品。)

內(nèi)部可視性

在大型網(wǎng)絡(luò)中，內(nèi)部可視性可能是一個(gè)挑戰(zhàn)。訓(xùn)練有素的團(tuán)隊(duì)需要將工具部署在網(wǎng)絡(luò)中的正確位置，并進(jìn)行正確配置和維護(hù)。正確的部署地點(diǎn)通常是網(wǎng)絡(luò)聚合點(diǎn)，例如辦公室(LAN)、遠(yuǎn)程設(shè)施(WAN)和數(shù)據(jù)中心(高速LAN)之間的互連。當(dāng)發(fā)生滲透時(shí)，監(jiān)視對(duì)等攻擊將要求團(tuán)隊(duì)監(jiān)視設(shè)施內(nèi)子網(wǎng)之間甚至數(shù)據(jù)中心中VM之間的流量。

內(nèi)部可視性包括識(shí)別以前未知的網(wǎng)絡(luò)設(shè)備，這可能是由于所謂的影子IT所致?；蛘?，它可以確定要監(jiān)視的最佳位置，從而提高現(xiàn)有工具的效率。還必須提供對(duì)OS補(bǔ)丁程序級(jí)別的可見性，并使用這些數(shù)據(jù)來驅(qū)動(dòng)自動(dòng)補(bǔ)丁程序系統(tǒng)。如果無法修補(bǔ)系統(tǒng)，則應(yīng)嚴(yán)格將其限制為僅與其他設(shè)備進(jìn)行必需的通信。這將減少惡意軟件的傳播和IoT的危害，因?yàn)椴涣夹袨檎哌^去一直使用網(wǎng)絡(luò)攝像頭和類似的IoT設(shè)備進(jìn)行分布式拒絕服務(wù)攻擊。

很多工具專用于內(nèi)部IT安全可見性，并提供類似于外部安全工具的儀表板。例如，RedSeal可評(píng)估企業(yè)的網(wǎng)絡(luò)并提供彈性評(píng)分。(免責(zé)聲明：NetCraftsmen在我們的安全實(shí)踐中使用RedSeal，但還有很多其他可用的工具。)

安全可視性的配套系統(tǒng)

由于IT安全行業(yè)很廣泛，因此團(tuán)隊(duì)無疑需要多種工具來獲得全面的網(wǎng)絡(luò)安全可視性。

• 入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)。IDS / IPS設(shè)備在提供額外可視性方面起著關(guān)鍵作用。這些系統(tǒng)以及其他可見性工具的自動(dòng)化，可以減少管理這些系統(tǒng)的工作量。
• 流數(shù)據(jù)。團(tuán)隊(duì)需要有關(guān)設(shè)備之間網(wǎng)絡(luò)數(shù)據(jù)流的信息，以了解惡意軟件的傳播路徑，并設(shè)計(jì)內(nèi)部防火墻規(guī)則集，這些規(guī)則集不會(huì)阻礙必要的業(yè)務(wù)流量。

Arbor Insight、Kentik、Plixer和Tetration等產(chǎn)品可提供流數(shù)據(jù)分析(例如NetFlow、IPFIX(IP流信息輸出)或sFlow(采樣流))，以識(shí)別誰在使用網(wǎng)絡(luò)以及正在使用哪種協(xié)議。這樣可以輕松地識(shí)別必須相互通信的設(shè)備，以及攻擊其他設(shè)備的受感染設(shè)備-即惡意軟件傳播。所需的流量可以通知構(gòu)建白名單防火墻規(guī)則，并且，不必要的流量可以識(shí)別受感染的設(shè)備。

• 自動(dòng)化。網(wǎng)絡(luò)攻擊和漏洞的規(guī)模實(shí)在太大，無法手動(dòng)處理。為了提高效率，企業(yè)應(yīng)該部署和使用自動(dòng)化系統(tǒng)。自動(dòng)化系統(tǒng)必須能夠檢測(cè)威脅并自動(dòng)對(duì)威脅進(jìn)行響應(yīng)，同時(shí)向網(wǎng)絡(luò)和安全管理人員警告威脅和行動(dòng)。
• 高管支持。不要忽視企業(yè)高管支持。高管需要對(duì)安全感興趣并監(jiān)視其有效性。團(tuán)隊(duì)是否在利用數(shù)據(jù)信息?哪些安全事件被檢測(cè)或避免?訓(xùn)練有素的團(tuán)隊(duì)是否部署了正確的工具，并有效地利用這些工具?

網(wǎng)絡(luò)和安全團(tuán)隊(duì)需要與其他IT部門一起合作才能發(fā)揮最大作用。高管可能需要在整個(gè)IT領(lǐng)域建立團(tuán)隊(duì)合作文化，讓更多的目光注視著所有IT系統(tǒng)，這會(huì)使企業(yè)的運(yùn)作更加順暢。