信息化觀察網

可見性真的那么有效嗎？這得依情況而定。

很多首席安全官 (CSO) 專注自動化企業(yè)威脅響應的時候，還有其他一部分 CSO 致力于提升自家網絡流量的可見性。但隨著加密技術越來越多地運用到合法應用流量保護和惡意軟件命令與控制 (C&C) 流量混淆上，網絡流量可見性改善也越來越困難了。

SecurIT 2019 安全大會上，由多家安全公司的首席信息安全官 (CISO)、安全市場主管和網絡威脅情報及事件響應經理組成的專家小組就可見性問題進行了探討，分享了如何跟上僵尸網絡流量暴漲的不同視角。

僵尸網絡流量的暴漲源自網絡罪犯自動化技術運用的日漸嫻熟，且往往會催生采用加密手段在缺乏可見性的 CSO 眼皮子底下運營的惡意網絡。

F5 公司安全市場營銷總監(jiān) Hogue 就表示：僵尸網絡已變得如此常見，以至于我們?yōu)榭蛻糸_啟僵尸流量防護后，客戶總體流量急劇下降到讓人誤以為是不是我們實現(xiàn)的控制措施有問題。

僵尸流量一旦侵入，就會消耗計算，消耗資源，造成公司經濟損失，但不會帶來任何形式的收益。所以，很明顯，識別僵尸主機要能距離公司網絡邊界多遠就多遠，實現(xiàn)控制措施也是。

與很多公司企業(yè)一樣， Australian Unity 一直很重視增強終端防護以阻止多種形式的網絡流量進入到公司網絡。在零信任網絡環(huán)境中，這意味著移動設備和其他終端的流量也要納入監(jiān)管。

Australian Unity 網絡威脅情報及事件響應經理 Mehmood 解釋稱：C&C 流量加密與混淆給合法流量帶來了嚴峻挑戰(zhàn)。最佳選擇就是在惡意應用尚未開始通信的終端層級加以檢測。第二選擇是用代理來解密，在代理這一層上知悉該流量。

然而，澳大利亞電信公司網絡安全治理與風險團隊主管 Al-Bassam 則對終端防護能擋住所有威脅的程度持懷疑態(tài)度，指出：創(chuàng)建能規(guī)避特征碼及模式識別的惡意軟件太容易了。

相對于惡意軟件檢測，終端安全在防止惡意軟件執(zhí)行上更為有效。所以，運用白名單策略確保只有經過審查批準的應用才能在終端上執(zhí)行至關重要。

無論終端防護程度如何，解密并聚集數(shù)據(jù)以進行分析的能力，推動了有助于提升威脅可見性的威脅情報功能。該能力與 “加密一切的默認立場” 相一致。

有些用例就是公司企業(yè)只是需要訪問數(shù)據(jù)的一種手段，要確定數(shù)據(jù)是否需要從一開始就加密。

還有一種是要確保如果有解密，或者沒有加密某類數(shù)據(jù)的時候，這一情況要對客戶透明?？傊褪菄@用數(shù)據(jù)切實幫助客戶，與加密一切的默認規(guī)則不同。

很多公司企業(yè)都在利用大容量解密工具創(chuàng)建所謂的隔離區(qū) (DMZ)，用真正的隔離讓加密區(qū)不僅實現(xiàn)安全及加密，還能打造解決問題和觀察數(shù)據(jù)治理的能力。

面對這些數(shù)據(jù)策略，安全人員必須能夠決策某些實例中有流量是不應該被加密的。服務鏈技術可以實現(xiàn)這一點。終端或許是企業(yè)的最后一道防線，但企業(yè)還可以選擇布置多層防御來篩查所有可疑流量。

見解和建議紛至沓來，安全大會過后，參會者滿載精神食糧歸家。但還有一個根本性問題貫穿始終：我們提升安全的速度真的夠快嗎？

大家都希望如此，但盡管人們的安全意識越來越濃厚，只要夠努力，大多數(shù)公司的防線依然形同虛設。沒有牢不可破的防御，只有不夠努力的黑客。