一旦网络入侵活动发生且不能阻止,企业应该希望能够第一时间得到告警。在进行传统、内部安全思维转变时,行之有效的现代安全解决方案应该是怎样的形态?
安全检测
我国从被动防御转变到主动防御,单纯的“预防”已经远远不够,主动出击,进行检测工作是后续安全工作的重中之重。
下图包含入侵检测体系中的五大关键组成部分。在考量解决方案投资时,应从技术角度确保其涵盖全部要求:
在上述核心功能之外,以下七项要求亦必须得到满足。
1. 实现SecOps
尽管SecOps一再被提及,但这种思维要具体落实却并非易事。SecOps还需要被真正引入开发、运营与安全保障体系。因此在选择入侵检测平台时,应将安全性与DevOps相结合,从而节约时间、提升效率以改善整体安全状况。
2.支持复杂环境
出于种种考量,云环境往往只能作为企业的运行平台选项之一。云、多云(Multi-Cloud,即企业将多个应用部署在多个云平台上)、混合云(Hybrid Cloud,包含私有云、公有云)、内部与容器环境的杂糅才是趋势所在。为了保护这类复杂环境,需要保证安全性、合规性的始终可见性。因此在选择入侵检测方案时,应确保其能够在复杂环境中提供必要的可见性保障。
3.多种检测模式
当前,各种网络连接方式错综复杂,已没有明显的网络监控边界,这就需要结合多种检测模式以发现所有可能出现的威胁因素,具体包括检测主机上的行为、云配置审查、安全漏洞、文件完整性以及威胁情报等等。正因为如此,我们的入侵检测方案必须有能够实现这些目标。
4.发现所有攻击
除了检测模式之外,理想的入侵检测平台还需要有能力发现多种攻击手段与攻击点,包括发现内部与外部威胁,并从初始检测到发展再到载体转换全程实现攻击检测。
5.异常行为警报
异常行为是发现威胁的最好方式,且往往能够抢在威胁造成实际危害之前将其扼制。强大的入侵检测方案应该能够为环境设定正常标准并随时间推移进行调整,从而持续实时检测异常行为。这就便于调查异常行为,并判断其属于正常状况抑或代表着不断演变的威胁活动。
6.提供统一数据
安全事件响应能力高度依赖于实际数据收集能力。如果使用多点解决方案,必然面临碎片化数据点问题,而这会增加平均解析时间(简称MTTR)。企业的目标在于保持低MTTR,因此必然要求能够统一数据,从而通过入侵检测解决方案提供面向基础设施与其中所有活动的全面观察视角。
7.保持合规性
最后,PCI DSS、HIPAA以及SOC 2等主要合规性标准亦应得到充分满足。某些平台因为无法提供必要的控制、监控与可审计性而无法真正支持上述合规性框架,选择入侵检测平台时需仔细甄别。
总结来讲,以上七条要求的最终目标都是为了随时间推移降低安全风险。企业具备的可见能力越强,警报越迅速,持续监控手段越充分,整体风险自然也就越合理。因此,现代入侵检测平台有助于随时间推移降低风险