现代网络安全架构应备性能
发布时间:2022-05-26 09:06:44 所属栏目:安全 来源:互联网
导读:样式和用例不断变化,网络安全也必须更加全面、智能、响应快。 网络的变迁自然对网络安全也提出了与时俱进的要求。现代网络安全必须支持以下几点: (1) 端到端覆盖:检查进/出流量的边界安全已不再满足需要。现代网络安全控制必须深入所有网段,审查横向流量
|
样式和用例不断变化,网络安全也必须更加全面、智能、响应快。 网络的变迁自然对网络安全也提出了与时俱进的要求。现代网络安全必须支持以下几点: (1) 端到端覆盖:检查进/出流量的边界安全已不再满足需要。现代网络安全控制必须深入所有网段,审查横向流量、云端网络通信,以及根本不触及公司网络的软件即服务 (SaaS) 远程网络通信。换句话说,所有网络流量都应纳入审查覆盖范围。 (2) 全面加解密:企业战略集团 (ESG) 研究指出,当今 50%~60% 的网络流量都是加密的,且未来加密流量的比例只会越来越高。这意味着网络安全架构必须具备在大量控制点上解密并检查流量的能力。现代网络安全技术还应能够无需解密全部就可以检测可疑流量。思科 Encrypted Traffic Analytics (ETA) 加密流量分析解决方案和 Barac.io 等公司推出的独立解决方案均已包含此功能。 (3) 以业务为中心的分隔:所有现代网络安全技术都应以减小攻击界面为主要要求。这包括两个方面的功能: 分隔各应用层间的横向流量; 强制实现用户/设备和网络服务间的软件定义边界网络分隔规则。此类功能也常被称为“零信任”。 中央控制面板与分布式实施:这是 “必备” 要素。所有网络安全控制(如物理控制、虚拟控制、基于云的控制)都必须向一个通用控制面板报告管理行为(如配置管理、策略管理、变动管理等)。中央控制面板很可能设在云端,所以 CISO 应为此变化做好对风险规避审计员和业务经理的培训。有来自中央命令与控制的指令支持,网络安全系统在阻止恶意流量和实施策略时应不用考虑自身位置或尺寸了。需注意的是,尽管每家网络安全供应商都推崇自身中央管理服务,FireMon、Skybox 和 Tufin 等第三方软件提供商在这一领域也占有一席之地。 全面监视与分析:安全界有句老话:“网络不会说谎。”因为所有网络攻击的杀伤链都绕不过网络通信这一环,安全分析师必须能够访问 OSI 技术栈所有层上的端到端网络流量分析 (NTA)。最好的 NTA 工具应在基本流量监视基础之上附加检测规则、启发式分析、脚本语言和机器学习,以便帮助分析师检测未知威胁,将恶意行为映射进 MITRE ATT&CK 框架。CISO 必须广撒网,因为可供选择的强大解决方案太多了,有纯初创公司 (Bricata、Corelight、DarkTrace、IronNet、Vectra Networks 等),有网络专家(思科、ExtraHop、NETSCOUT 等),还有网络安全供应商(Fidelis、火眼、Lastline、惠普企业等)。购者自慎! (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号