网络安全领域如今正处在向智能解决方案转变的早期阶段。人工智能和机器学习已经在数据中心产生巨大影响,这一点在网络安全方面更为明显。
智能和自动化已经在创建和管理智能实时的微分段策略,分析网络流量以发现可疑活动或异常数据移动,以及管理最小特权和零信任环境中访问方面发挥重要作用。
总部位于波士顿的律师事务所Goulston&Storrs转向采用智能网络安全解决方案来保护其数据中心,因为专注于保护组织周边环境的标准解决方案存在致命缺陷。
该公司首席信息官JohnArsneault说,“传统方法缺乏的是在事件发生后知道发生了什么,很多公司可能在几个月之后都不知道受到了攻击,攻击者尝试在其网络上攻击主机和应用程序,并获取重要的数据。”
他说,“新的网络安全技术(例如微监控技术)提供了第二道防线。如果网络攻击者确实掌握了用户凭据,或者利用了企业的IT处理遗漏的漏洞,那么这些公司的经营将受到很大的影响。”
微分段的问题在于需要花费企业大量的时间和精力。
他说:“人们没有跟上网络安全发展的步伐,并通常可能更开放脆弱。即使网络工程师或安全工程师致力于跟上其发展和变化,也是非常困难的。”
Goulston&Storrs律师事务所希望获得更好的网络安全性,但不希望增加更多工作人员。
瞻博网络公司安全战略总监LaurencePitt说,“更多的数据、更多的流量、更多的工作负载,以及更多的员工来管理网络IT,这已经成为安全行业的一个常见呼声。”
他补充说,这些并不是新挑战,由于变化速度不断加快和复杂性增加,安全性也在下降。
他说,“通过将威胁情报和自动化嵌入到每个路由器、交换机、网关和无线接入点,网络需要成为安全人员的第一道防线。”
网络分段
网络分段的想法是网络的不同部分之间存在障碍,这种障碍就像物理上的“气隙”,不允许流量进入。或者它们可以是虚拟的,是以防火墙、加密隧道和类似技术的形式。
在快速变化的现代化数据中心环境中,无需人工智能工具即可有效管理微分段。
EdgewiseNetworks公司工程副总裁TomHickman说:“我们过去通常一年发布一个版本,我们在今年6月的7天内发布了9个版本,每个活动都是网络技术的重大变化。如今,企业必须拥有能够响应动态变化的技术,这是自我配置的。”
智能解决方案在两个方面解决了这些问题。首先,算法用于映射网络中的流量,并提取网络行为的通用规则供分析人员查看。例如,某些类型的应用程序与某些类型的后端数据库进行通信。
用于生成地图的技术通常是聚类分析的一些变体,聚类分析是一种识别类似项目组的机器学习技术。类似的算法用于电子商务推荐引擎和自动识别客户群的营销工具中。然后,此映射用于生成虚拟网段,以便以与数据中心风险偏好相匹配的方式平衡可用性和安全性。
如果出现攻击网络分段但符合预先批准的策略的新流量,则会自动重新分段。如果新流量不在允许的范围内,则进行标记,可以供网络管理员或安全分析人员进一步关注。
Arsnault表示,Goulston&Storrs律师事务所决定采用Edgewise公司的微监控技术,并且能够在不增加员工的情况下推出完整的微监控措施。其中包括所有公司的虚拟机、服务器、主机、用户,以及软件可以通过的所有路径——总共有125000种不同的保护方式。
他说,“凭借其机器学习组件,人们能够通过按下按钮来保护所有内容。它将继续学习网络,并将不断更新适用于微分段的政策。它不再需要人力资源,这是一个巨大的负担,并且会大大减少工作人员的时间和精力。”
混合云使分段更加困难
与此同时,保护网络的挑战也在不断发展。IT服务管理商InterVisionSystems公司的安全专业服务主管DerekBrost表示,在混合环境中分段要复杂得多。如果数据中心是混合操作,具有多个基于云计算的本地环境以及竞争(或不兼容)的网络技术,则可能难以以有组织的方式管理网段和访问控制。
他说,“安全管理人员可能需要避免只关注网络。将微分段技术从网络中分离出来,并将其下载到各个端点系统中是非常有利的。”
云计算功能将强制重新思考
它不会就此止步。软件开发的下一个演进,云计算功能(也称为无服务器功能,或lambda功能)将难度提高了一个档次。
云计算功能是在云功能平台内运行的一小段代码,例如亚马逊、谷歌或微软公司提供的功能。没有虚拟机可以安装安全工具,甚至没有容器。
Edgewise公司的Hickman说,“我认为这可能是我看到的最重要的事情,这将迫使从业人员真正评估他们目前的安全模式和解决方案。”
他表示,“Edgewise公司可以在虚拟机或容器上安装其微分段技术。我们只是基础图像的一部分,是克隆的,代理人在实例化时就在那里。”
他说,“Edgewise公司的微监控技术目前不支持云计算功能。但我们正在实验室进行研究和开发。”
异常和不良行为
异常检测是另一种流行的机器学习算法。例如,在网络流量的情况下,监控系统将监视数据中心的正常操作,并了解每日、周或月的情况。一旦训练,它就会寻找不符合基线的新行为。
例如,如果市场营销部门的用户突然开始从位于俄罗斯的计算机访问金融数据库,这可能表明某些帐户已被盗用。传统的方法是寻找已知不良行为、已知恶意软件或试图访问已知与黑客有关联的站点的特定实例。
安全厂商SignalSciences公司联合创始人兼CSOZaneLackey说,“基于签名的系统寻找一个特定的东西,如果他们看到它,就会标记它或阻止它。当网络、基础设施和应用程序没有那么大的变化时,这是可以的。但如果现在向首席信息安全官或首席技术官询问他们的运营环境时,他们都将表示正在以惊人的速度变化。”
他说,“这需要技术的多代的变革,从基于签名的模型转变为行为模型。这是必须发生的实际转变。”
然而,他警告企业不要采用一些基于人工智能的方法,因为应用程序的变化可能比人工智能模型的训练速度要快。
他说,“需要了解它是否真的解决了人们所看到的挑战。”
智能访问管理
Lacke说,“网络安全是当今运营数据中心的人的基本挑战。为了实现这一目标,可信网络的概念正在被零信任模型所取代。人们不再仅仅因为信任在网络上就认为它是理所当然的。”
这意味着对设备和应用程序的访问需要非常有限且严格控制,每个新连接都需要新的身份验证步骤。对于传统的访问管理平台来说,这是一项艰巨的任务。
Lackey说,“如何限制对单个服务实际需要的访问?在我与全球2000强的首席信息安全官进行的谈话中,这都是所谈论最热门的话题之一。”
编辑:Harris