但可见性真的那么有效吗?这得依情况而定。
很多首席安全官 (CSO) 专注自动化企业威胁响应的时候,还有其他一部分 CSO 致力于提升自家网络流量的可见性。但随着加密技术越来越多地运用到合法应用流量保护和恶意软件命令与控制 (C&C) 流量混淆上,网络流量可见性改善也越来越困难了。
SecurIT 2019 安全大会上,由多家安全公司的首席信息安全官 (CISO)、安全市场主管和网络威胁情报及事件响应经理组成的专家小组就可见性问题进行了探讨,分享了如何跟上僵尸网络流量暴涨的不同视角。
僵尸网络流量的暴涨源自网络罪犯自动化技术运用的日渐娴熟,且往往会催生采用加密手段在缺乏可见性的 CSO 眼皮子底下运营的恶意网络。
F5 公司安全市场营销总监 Hogue 就表示:僵尸网络已变得如此常见,以至于我们为客户开启僵尸流量防护后,客户总体流量急剧下降到让人误以为是不是我们实现的控制措施有问题。
僵尸流量一旦侵入,就会消耗计算,消耗资源,造成公司经济损失,但不会带来任何形式的收益。所以,很明显,识别僵尸主机要能距离公司网络边界多远就多远,实现控制措施也是。
与很多公司企业一样, Australian Unity 一直很重视增强终端防护以阻止多种形式的网络流量进入到公司网络。在零信任网络环境中,这意味着移动设备和其他终端的流量也要纳入监管。
Australian Unity 网络威胁情报及事件响应经理 Mehmood 解释称:C&C 流量加密与混淆给合法流量带来了严峻挑战。最佳选择就是在恶意应用尚未开始通信的终端层级加以检测。第二选择是用代理来解密,在代理这一层上知悉该流量。
然而,澳大利亚电信公司网络安全治理与风险团队主管 Al-Bassam 则对终端防护能挡住所有威胁的程度持怀疑态度,指出:创建能规避特征码及模式识别的恶意软件太容易了。
相对于恶意软件检测,终端安全在防止恶意软件执行上更为有效。所以,运用白名单策略确保只有经过审查批准的应用才能在终端上执行至关重要。
无论终端防护程度如何,解密并聚集数据以进行分析的能力,推动了有助于提升威胁可见性的威胁情报功能。该能力与 “加密一切的默认立场” 相一致。
有些用例就是公司企业只是需要访问数据的一种手段,要确定数据是否需要从一开始就加密。
还有一种是要确保如果有解密,或者没有加密某类数据的时候,这一情况要对客户透明。总之就是围绕用数据切实帮助客户,与加密一切的默认规则不同。
很多公司企业都在利用大容量解密工具创建所谓的隔离区 (DMZ),用真正的隔离让加密区不仅实现安全及加密,还能打造解决问题和观察数据治理的能力。
面对这些数据策略,安全人员必须能够决策某些实例中有流量是不应该被加密的。服务链技术可以实现这一点。终端或许是企业的最后一道防线,但企业还可以选择布置多层防御来筛查所有可疑流量。
见解和建议纷至沓来,安全大会过后,参会者满载精神食粮归家。但还有一个根本性问题贯穿始终:我们提升安全的速度真的够快吗?
大家都希望如此,但尽管人们的安全意识越来越浓厚,只要够努力,大多数公司的防线依然形同虚设。没有牢不可破的防御,只有不够努力的黑客。
相关阅读