要確保數(shù)量不斷增多的遠(yuǎn)程端點(diǎn)不被黑客利用成為入侵網(wǎng)絡(luò)的切入點(diǎn),這對(duì)許多IT團(tuán)隊(duì)來(lái)說(shuō)是壓倒性的任務(wù)。過(guò)去安全團(tuán)隊(duì)的重點(diǎn)保護(hù)對(duì)象是服務(wù)器和基于云的數(shù)據(jù)庫(kù)。因此,自愈網(wǎng)絡(luò)安全系統(tǒng)的概念對(duì)許多IT和安全專業(yè)人士有很大的吸引力,他們正在尋找方法來(lái)減少保護(hù)分布式基礎(chǔ)設(shè)施所需的時(shí)間和精力。但我們離自我修復(fù)的網(wǎng)絡(luò)安全系統(tǒng)有多遠(yuǎn)呢?
在跨端點(diǎn)建立可見(jiàn)性和安全控制時(shí),IT和安全專業(yè)人員需要了解每個(gè)端點(diǎn)是否對(duì)其自身的安全承擔(dān)部分或全部責(zé)任。這與傳統(tǒng)的網(wǎng)絡(luò)安全方法不同,傳統(tǒng)網(wǎng)絡(luò)安全中既定的安全措施適用于整個(gè)網(wǎng)絡(luò),而不是單個(gè)設(shè)備和服務(wù)器。因此,企業(yè)至少應(yīng)在其整個(gè)設(shè)備群中部署簡(jiǎn)單形式的端點(diǎn)安全,如防病毒或反惡意軟件軟件。許多企業(yè)正在提升這些防護(hù)措施,如今已經(jīng)開(kāi)始利用現(xiàn)代端點(diǎn)安全技術(shù)(包括加密、入侵檢測(cè)和行為阻止元素)來(lái)識(shí)別和阻止最終用戶或入侵者的威脅和危險(xiǎn)行為了。
1.自愈網(wǎng)絡(luò)安全系統(tǒng)定義
然而,人為錯(cuò)誤、惡意行為、過(guò)時(shí)的和不安全的軟件通常會(huì)阻礙這些安全控制的有效性。因此,F(xiàn)orresterResearch建議通過(guò)利用端點(diǎn)設(shè)備、關(guān)鍵任務(wù)安全控制和生產(chǎn)力應(yīng)用程序的自我修復(fù)功能來(lái)采取主動(dòng)的端點(diǎn)安全方法。根據(jù)2021年絕對(duì)端點(diǎn)安全風(fēng)險(xiǎn)報(bào)告,在沒(méi)有這些自我修復(fù)功能的企業(yè)中,四分之一的端點(diǎn)設(shè)備在給定時(shí)間內(nèi)都上傳了風(fēng)險(xiǎn)警示信息,其中包括關(guān)鍵資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)信息。
自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)備或軟件組件可以感知系統(tǒng)是否以最佳方式運(yùn)行,并且無(wú)需人工干預(yù)即可進(jìn)行恢復(fù)正常運(yùn)行所需的調(diào)整。這可以通過(guò)主動(dòng)監(jiān)控來(lái)實(shí)現(xiàn),以快速測(cè)量與標(biāo)準(zhǔn)配置設(shè)置的偏差,并修復(fù)或重新安裝故障組件以將系統(tǒng)恢復(fù)到穩(wěn)定狀態(tài)。這至少是許多安全供應(yīng)商承諾的自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)的自動(dòng)化能力。不幸的是,現(xiàn)實(shí)并不總是與炒作相符。因此,IT和安全團(tuán)隊(duì)?wèi)?yīng)在投資自愈技術(shù)之前進(jìn)行盡職調(diào)查。
2.當(dāng)心安全自愈的陷阱
如今,許多安全供應(yīng)商提供的解決方案可以掃描端點(diǎn)和已安裝的軟件組件,以查找可能存在的缺陷、軟件沖突以及潛在或正在發(fā)生的網(wǎng)絡(luò)攻擊的跡象。異常是基于與先前建立的基線或基于行為檢測(cè)的比較分析來(lái)發(fā)現(xiàn)的,以觸發(fā)自動(dòng)修復(fù)操作。顯然,在改進(jìn)幫助臺(tái)服務(wù)、資產(chǎn)管理或安全控制效率方面,這些自我修復(fù)功能為IT和安全團(tuán)隊(duì)提供了巨大的好處。
然而,自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)的最終區(qū)別在于它們防止相同因素的相對(duì)能力水平——例如例如人為錯(cuò)誤、缺陷、軟件沖突和惡意活動(dòng)。最后,它們只是另一個(gè)軟件應(yīng)用程序。因此,重要的是選擇能夠在面對(duì)敵對(duì)外部因素時(shí)持續(xù)存在解決方案。為了實(shí)現(xiàn)這種強(qiáng)化狀態(tài),應(yīng)將自我修復(fù)功能嵌入到端點(diǎn)的固件中,使其免受任何有意或無(wú)意的操縱或篡改。反過(guò)來(lái),每當(dāng)最終用戶啟動(dòng)他們的端點(diǎn)時(shí),自我修復(fù)技術(shù)應(yīng)該驗(yàn)證BIOS代碼的完整性,以保護(hù)計(jì)算機(jī)免受外部危害,使其不可被刪除,因此其性能優(yōu)于不植根于端點(diǎn)固件的自我修復(fù)技術(shù)。設(shè)備的固件是一個(gè)特權(quán)區(qū)域,需要與設(shè)備制造商密切合作才能訪問(wèn)。很少有供應(yīng)商會(huì)擁有這種特權(quán)。
3.結(jié)論
使每個(gè)端點(diǎn)具有彈性對(duì)于實(shí)施成功的防御策略至關(guān)重要。在這種情況下,自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)代表了重大的安全和IT生產(chǎn)力進(jìn)步,使企業(yè)能夠簡(jiǎn)化當(dāng)今高度分布式基礎(chǔ)設(shè)施的管理和保護(hù)。然而,并非所有的自我修復(fù)網(wǎng)絡(luò)安全系統(tǒng)都是缺省就提供的,企業(yè)應(yīng)該在做出最終購(gòu)買(mǎi)決定之前,堅(jiān)持要求他們選擇的供應(yīng)商在這方面展示持久性的研發(fā)與支持能力。
