建構安全的網絡，你需要的不僅僅隻是改善網絡安全

安全管理人員面臨着很多困難，尤其是在面對看似無休止的網絡攻擊時，總是感到在疲于應付和阻止威脅，并且迫切需要借助任何可用的手段來應對威脅。為了深度防禦，太多的企業采用的方法就是“買進來”，希望通過給網絡增加越來越多的安全層，企業能夠跟上試圖破壞網絡和資訊安全的各種惡意威脅。

由此就産生了一種不可管理的卻宣稱能夠使企業更安全的産品系統，實際上，這些産品采用了一種破壞生産力的“過度防禦”的模式。企業将太多的時間和金錢用于保證網絡安全的更新上，卻沒有将足夠的時間用于建構真正安全的網絡。如此做法非但沒有建立有更強确定性的網絡，反而創造了一種過度複雜的網絡。

例如，大量的所謂新裝置宣稱能夠保護企業網絡免受任何特定的威脅。但是，如果出現了一種新威脅，企業網絡就增加一個新安全層，網絡卻不會是以而更安全。

事實是，企業需要從根本上改變看待安全的思想，需要重置其思考方式，并将關注的重點不再放在改善網絡安全上，而應放在建構安全的網絡上。雖然部署多層防禦很重要，但是企業應将更多的重點放在如何內建、更新、管理公司的安全性上。

就其本質而言，安全網絡應關注自動化和管理。其中包括除防火牆之外的進一步強化，進而決定網絡中的哪些點有助于阻止威脅。安全網絡應着重于如何更有效地從多個源頭來內建威脅情報，然後自動分析這些資訊。最後，安全網絡需要找到更為集中的管理方法，并且要盡可能廣泛地在公司基礎架構中改變政策和規則。

我們需要改變思考政策、檢測及強化的方式。任何公司都可以關注如下三個方面來建構安全網絡，而不僅僅是改善網絡安全。

1.開放性的标準和基于意圖的政策引擎。多年以來，業界一直在談論統一政策和統一政策引擎。在不同的政策引擎之間轉換政策變得極其困難。安全管理專家至少正在繼承和管理三代裝置，在網絡的安全覆寫範圍方面卻幾乎沒有什麼明确證據。我們需要使政策引擎構成聯盟并實作自動化，政策引擎要支援通過開放的标準來交換政策。社群和業界應大力支援在網絡安全資訊的共享規範上做出一些開源努力，如taxii、 stix、 cybox等。其中，stix尤其重視網絡威脅資訊的交換。這可以使我們改變關于網絡威脅和惡意行為的一些思想。

2.在任何地方進行檢測的能力。企業應利用最新技術來更快地确認惡意企圖。首先，對于前面提到的stix，我們希望能夠利用所有的好情報，在确認威脅和惡意企圖方面掌握實時的資訊功能。任何企業隻要擁有基于開放标準的威脅情報交換能力，即掌握了阻止已知威脅的資訊。即使擁有一些最好的防火牆和已明确定義的外圍安全政策，也能在區域網路内部檢測到威脅和惡意企圖。

不幸的是，這些威脅和惡意企圖往往是在安全事件響應團隊以某種形式通知公衆後由人工方式發現的。企業不應當調查網絡，而應當利用網絡自身來檢測網絡威脅和惡意企圖，并立即隔離或阻止惡意企圖在網絡中的擴散。

3.在任何地方執行。如果你能夠在企業網絡中的任何地方檢測到威脅，為什麼不能夠在那個地方阻止威脅?業界實作安全的方法是什麼?答案是：一直在網絡的邊緣強化安全。對于移動計算、byod、物聯網，從另一個方面來看，外圍就是任何地方。在網絡的每一個點上去部署另一層安全不但在經濟上不可行，而且也不利于運維和管理。為什麼不利用網絡自身?利用網絡是實施檢測和強化安全的最具有成本效益的高效方法。安全形勢在不斷變化。我們必須摒棄原來考慮網絡安全的傳統方法。

安全業界需要在思想上進行根本的變化，充分利用網絡的每一個方面，以此作為安全檢測和強化的一個關鍵點。隻有通過這種方法，我們才能獲得真正安全的網絡。

本文轉自d1net（轉載）