多年來，網(wǎng)絡(luò)安全一直是企業(yè)的首要任務(wù)。根據(jù)Gartner的報(bào)告，預(yù)計(jì)2021年企業(yè)將在IT安全和風(fēng)險(xiǎn)管理技術(shù)上花費(fèi)1504億美元，與2020年相比將增加12.4%。然而，盡管企業(yè)對安全控制進(jìn)行了這些投資，但網(wǎng)絡(luò)攻擊仍在不斷發(fā)生。事實(shí)上，網(wǎng)絡(luò)犯罪分子通過網(wǎng)絡(luò)釣魚、勒索軟件和憑證填充等策略，利用新冠疫情引發(fā)的工作環(huán)境轉(zhuǎn)變，發(fā)起了一波新的網(wǎng)絡(luò)攻擊。他們的主要攻擊目標(biāo)是充當(dāng)企業(yè)網(wǎng)絡(luò)接入點(diǎn)的遠(yuǎn)程工作人員及其端點(diǎn)設(shè)備。

[[411154]]

要確保數(shù)量不斷增多的遠(yuǎn)程端點(diǎn)不被黑客利用成為入侵網(wǎng)絡(luò)的切入點(diǎn)，這對許多IT團(tuán)隊(duì)來說是壓倒性的任務(wù)。過去安全團(tuán)隊(duì)的重點(diǎn)保護(hù)對象是服務(wù)器和基于云的數(shù)據(jù)庫。因此，自愈網(wǎng)絡(luò)安全系統(tǒng)的概念對許多IT和安全專業(yè)人士有很大的吸引力，他們正在尋找方法來減少保護(hù)分布式基礎(chǔ)設(shè)施所需的時(shí)間和精力。但我們離自我修復(fù)的網(wǎng)絡(luò)安全系統(tǒng)有多遠(yuǎn)呢?

在跨端點(diǎn)建立可見性和安全控制時(shí)，IT和安全專業(yè)人員需要了解每個(gè)端點(diǎn)是否對其自身的安全承擔(dān)部分或全部責(zé)任。這與傳統(tǒng)的網(wǎng)絡(luò)安全方法不同，傳統(tǒng)網(wǎng)絡(luò)安全中既定的安全措施適用于整個(gè)網(wǎng)絡(luò)，而不是單個(gè)設(shè)備和服務(wù)器。因此，企業(yè)至少應(yīng)在其整個(gè)設(shè)備群中部署簡單形式的端點(diǎn)安全，如防病毒或反惡意軟件軟件。許多企業(yè)正在提升這些防護(hù)措施，如今已經(jīng)開始利用現(xiàn)代端點(diǎn)安全技術(shù)(包括加密、入侵檢測和行為阻止元素)來識別和阻止最終用戶或入侵者的威脅和危險(xiǎn)行為了。

1. 自愈網(wǎng)絡(luò)安全系統(tǒng)定義

然而，人為錯(cuò)誤、惡意行為、過時(shí)的和不安全的軟件通常會阻礙這些安全控制的有效性。因此，F(xiàn)orrester Research建議通過利用端點(diǎn)設(shè)備、關(guān)鍵任務(wù)安全控制和生產(chǎn)力應(yīng)用程序的自我修復(fù)功能來采取主動的端點(diǎn)安全方法。根據(jù)2021年絕對端點(diǎn)安全風(fēng)險(xiǎn)報(bào)告，在沒有這些自我修復(fù)功能的企業(yè)中，四分之一的端點(diǎn)設(shè)備在給定時(shí)間內(nèi)都上傳了風(fēng)險(xiǎn)警示信息，其中包括關(guān)鍵資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)信息。

自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)備或軟件組件可以感知系統(tǒng)是否以最佳方式運(yùn)行，并且無需人工干預(yù)即可進(jìn)行恢復(fù)正常運(yùn)行所需的調(diào)整。這可以通過主動監(jiān)控來實(shí)現(xiàn)，以快速測量與標(biāo)準(zhǔn)配置設(shè)置的偏差，并修復(fù)或重新安裝故障組件以將系統(tǒng)恢復(fù)到穩(wěn)定狀態(tài)。這至少是許多安全供應(yīng)商承諾的自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)的自動化能力。不幸的是，現(xiàn)實(shí)并不總是與炒作相符。因此，IT和安全團(tuán)隊(duì)?wèi)?yīng)在投資自愈技術(shù)之前進(jìn)行盡職調(diào)查。

2. 當(dāng)心安全自愈的陷阱

如今，許多安全供應(yīng)商提供的解決方案可以掃描端點(diǎn)和已安裝的軟件組件，以查找可能存在的缺陷、軟件沖突以及潛在或正在發(fā)生的網(wǎng)絡(luò)攻擊的跡象。異常是基于與先前建立的基線或基于行為檢測的比較分析來發(fā)現(xiàn)的，以觸發(fā)自動修復(fù)操作。顯然，在改進(jìn)幫助臺服務(wù)、資產(chǎn)管理或安全控制效率方面，這些自我修復(fù)功能為IT和安全團(tuán)隊(duì)提供了巨大的好處。

然而，自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)的最終區(qū)別在于它們防止相同因素的相對能力水平——例如例如人為錯(cuò)誤、缺陷、軟件沖突和惡意活動。最后，它們只是另一個(gè)軟件應(yīng)用程序。因此，重要的是選擇能夠在面對敵對外部因素時(shí)持續(xù)存在解決方案。為了實(shí)現(xiàn)這種強(qiáng)化狀態(tài)，應(yīng)將自我修復(fù)功能嵌入到端點(diǎn)的固件中，使其免受任何有意或無意的操縱或篡改。反過來，每當(dāng)最終用戶啟動他們的端點(diǎn)時(shí)，自我修復(fù)技術(shù)應(yīng)該驗(yàn)證BIOS代碼的完整性，以保護(hù)計(jì)算機(jī)免受外部危害，使其不可被刪除，因此其性能優(yōu)于不植根于端點(diǎn)固件的自我修復(fù)技術(shù)。設(shè)備的固件是一個(gè)特權(quán)區(qū)域，需要與設(shè)備制造商密切合作才能訪問。很少有供應(yīng)商會擁有這種特權(quán)。

3. 結(jié)論

使每個(gè)端點(diǎn)具有彈性對于實(shí)施成功的防御策略至關(guān)重要。在這種情況下，自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)代表了重大的安全和IT生產(chǎn)力進(jìn)步，使企業(yè)能夠簡化當(dāng)今高度分布式基礎(chǔ)設(shè)施的管理和保護(hù)。然而，并非所有的自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)都是缺省就提供的，企業(yè)應(yīng)該在做出最終購買決定之前，堅(jiān)持要求他們選擇的供應(yīng)商在這方面展示持久性的研發(fā)與支持能力。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文