加密不斷擴張的世界里 可見性變得無比重要
作者:星期一, 六月 17, 20190

但可見性真的那么有效嗎?這得依情況而定。

很多首席安全官 (CSO) 專注自動化企業威脅響應的時候,還有其他一部分 CSO 致力于提升自家網絡流量的可見性。但隨著加密技術越來越多地運用到合法應用流量保護和惡意軟件命令與控制 (C&C) 流量混淆上,網絡流量可見性改善也越來越困難了。

SecurIT 2019 安全大會上,由多家安全公司的首席信息安全官 (CISO)、安全市場主管和網絡威脅情報及事件響應經理組成的專家小組就可見性問題進行了探討,分享了如何跟上僵尸網絡流量暴漲的不同視角。

僵尸網絡流量的暴漲源自網絡罪犯自動化技術運用的日漸嫻熟,且往往會催生采用加密手段在缺乏可見性的 CSO 眼皮子底下運營的惡意網絡。

F5 公司安全市場營銷總監 Hogue 就表示:僵尸網絡已變得如此常見,以至于我們為客戶開啟僵尸流量防護后,客戶總體流量急劇下降到讓人誤以為是不是我們實現的控制措施有問題。

僵尸流量一旦侵入,就會消耗計算,消耗資源,造成公司經濟損失,但不會帶來任何形式的收益。所以,很明顯,識別僵尸主機要能距離公司網絡邊界多遠就多遠,實現控制措施也是。

與很多公司企業一樣, Australian Unity 一直很重視增強終端防護以阻止多種形式的網絡流量進入到公司網絡。在零信任網絡環境中,這意味著移動設備和其他終端的流量也要納入監管。

Australian Unity 網絡威脅情報及事件響應經理 Mehmood 解釋稱:C&C 流量加密與混淆給合法流量帶來了嚴峻挑戰。最佳選擇就是在惡意應用尚未開始通信的終端層級加以檢測。第二選擇是用代理來解密,在代理這一層上知悉該流量。

然而,澳大利亞電信公司網絡安全治理與風險團隊主管 Al-Bassam 則對終端防護能擋住所有威脅的程度持懷疑態度,指出:創建能規避特征碼及模式識別的惡意軟件太容易了。

相對于惡意軟件檢測,終端安全在防止惡意軟件執行上更為有效。所以,運用白名單策略確保只有經過審查批準的應用才能在終端上執行至關重要。

無論終端防護程度如何,解密并聚集數據以進行分析的能力,推動了有助于提升威脅可見性的威脅情報功能。該能力與 “加密一切的默認立場” 相一致。

有些用例就是公司企業只是需要訪問數據的一種手段,要確定數據是否需要從一開始就加密。

還有一種是要確保如果有解密,或者沒有加密某類數據的時候,這一情況要對客戶透明。總之就是圍繞用數據切實幫助客戶,與加密一切的默認規則不同。

很多公司企業都在利用大容量解密工具創建所謂的隔離區 (DMZ),用真正的隔離讓加密區不僅實現安全及加密,還能打造解決問題和觀察數據治理的能力。

面對這些數據策略,安全人員必須能夠決策某些實例中有流量是不應該被加密的。服務鏈技術可以實現這一點。終端或許是企業的最后一道防線,但企業還可以選擇布置多層防御來篩查所有可疑流量。

見解和建議紛至沓來,安全大會過后,參會者滿載精神食糧歸家。但還有一個根本性問題貫穿始終:我們提升安全的速度真的夠快嗎?

大家都希望如此,但盡管人們的安全意識越來越濃厚,只要夠努力,大多數公司的防線依然形同虛設。沒有牢不可破的防御,只有不夠努力的黑客。

相關閱讀

網絡可見性:看還是不看?這是一個問題

 


相關文章

寫一條評論

 

 

0條評論