用来保护企业网络的传统工具在网络可见性和保护它们的能力方面造成了差距。
正如之前所讨论的,企业网络已经变得原子化,意味着它们是分散的、短暂的、加密的和多样化的 (DEED)。这些 DEED 环境和我们用来保护它们的传统工具在网络可见性和我们保护它们的能力方面造成了差距。由于三个主要原因,盲点猖獗。
深度包检测 (DPI) 正在失去效力。在隐私和安全问题的推动下,网络流量加密变得无处不在,使我们传统上使用的许多网络可见性和安全工具失明,例如下一代防火墙 (NGFW)、入侵防御系统 (IPS) 以及网络检测和响应(NDR)系统。沿着解密路径走下去的公司,尤其是在受到严格监管的行业中的公司,很快就会发现,在进行持续检测所需的级别上进行解密是有问题的,因为暴露的流量可能会被看到或捕获。更不用说额外的开销和性能权衡。
DPI 也很难扩展。在 DEED 环境中,很难找到部署跨端口的入口点。即使你能弄清楚放置它们的位置,大规模这样做也会产生费用和复杂性。很少有公司对部署硬件感兴趣了。在需要可见性的任何地方部署它很麻烦,需要太多时间,而且成本高昂,如果不是不可能的话。然而,即使是基于软件的方法仍然需要构建、扩展和管理虚拟机 (VM)。它们消除了物理设备的成本和复杂性,但是在数百个位置添加跨接端口和流量镜像的提升是一项艰巨的任务。不可避免地会存在盲点,因为网络的某些部分总是超出范围或无法被 DPI 看到。
云流日志是不同的。各个云服务提供商 (CSP) 可以为其特定的云环境提供良好的可见性机制。但根据Flexera 2022 年云状态报告( PDF), 89% 的组织报告拥有多云战略,不同的 CSP 提供不同的能力并且都存在差距。此外,几乎没有标准存在,因此每个 CSP 提供的数据类型、数据捕获方式和可见性级别各不相同。了解这些差异、哪些差异很重要以及它们是否实质性需要特定的专业知识。可见性也被分隔开来,因此看到流量进出云层、云层之间甚至云层内部都是一项挑战。找到一种方法将不同的云流日志汇集在一起并规范化数据,以便您可以用一组眼睛查看它,而不必在 CSP 之间进行上下文切换,这是一项繁重的工作。
端点无处不在,并非所有端点都可以支持代理。端点检测和响应 (EDR) 成为新的热门工具是有原因的;它解决了很多问题。然而,客户和潜在客户告诉我们,他们在端点上的 EDR 覆盖率在 60-70% 之间,不包括路由器和交换机等网络设备。还有许多连接到他们公司网络的其他设备也不支持代理或不受他们控制。想想销售点 (POS) 系统、HVAC 系统、物联网设备和智能电视。此外,由于自带设备 (BYOD) 环境和随处工作模型引入了通过家庭和 wifi 网络连接的其他流氓设备,因此还有无数他们甚至不知道的设备。如果您不能考虑端点的全部组合,就会存在差距。
改进网络可见性和安全性方法
为了缩小 DEED 环境和传统工具之间的差距,我们需要一种不同的方法,使我们能够在更高层次上可视化网络流量,跨越当今使用的环境和设备的数量和类型,而无需捕获和解密数据包。事实证明,元数据和上下文是关键。
流数据形式的元数据提供了一种被动和无代理的方法来跨多云、本地和混合环境(包括每个 IP 地址和每个设备)实现网络流量可见性。而且由于元数据提供有关网络流量的信息而不包括敏感或私有数据,因此您可以收集和存储它而无需担心合规性或监管问题。
将所有流式元数据整合到一个平台中,对其进行规范化,并使用开源数据和组织特定的上下文数据实时丰富它,为不同的团队提供了一个去处和一种通用语言来获取完整的信息发生了什么。他们可以专注于与他们相关的内容,而无需专业知识来理解不同的流数据,或存储和查询平台以进行可能需要数小时才能提供答案的额外查找。
改进安全方法以到达需要到达的地方,从使用已有的数据开始,并为团队提供一个地方去获取所有数据的统一视图和一种通用语言,以便他们可以专注于他们想要解决的问题解决。这是一种少即是多的方法,可以弥补实时检测、实时调查和实时补救方面的差距,并使安全团队能够不断发展以保护其原子化网络。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/141809.html<
