【51CTO.com 综合报道】不久前,对一名IT管理员而言,企业网络上出现的一条蠕虫或病毒便意味着需要彻夜工作,并不断在防火墙日志或入侵检测日志中搜索,直至隔离问题并控制损害。对过去那些简单的威胁而言,这种做法异常麻烦,并且事倍功半。然而,不幸的是,在今天,即使管理员采取严格监管,许多最危险的威胁依然能够躲避个人安全解决方案的检测,这是因为:
◆复杂的多维攻击可能会造成任何单一型安全解决方案出现次生事件。
◆攻击的速度和规模会很快压跨管理员——并且新攻击的出现速度要超过管理员的研究速度。
◆网络攻击总发生在管理员不在或者无法触及的地点——发生在远程办公室,或在区域灾害期间。
◆管理员出于对组织的不满或由于金钱方面的动机自己制造一些最危险、令组织付出高昂代价的攻击。
采用合作的方式,自动关联多个安全解决方案是企业应付这些威胁的关键。多年的可靠投资使企业拥有功能强大的个体安全技术。但问题在于,这些技术大多只看重产品自身性质,并试图在真空隔绝的环境中确保企业安全。今天的解决方案则向采取认证、降低风险并进行报告的方向更进一步:从网络基础架构深层着手,协调多个设备实现安全,以适应不断变化的安全威胁。这些新的适应性解决方案可节省大量资金和时间,帮助维持并遵守健康、安全、金融、隐私的有关规则,以及其它规则,同时也减少文件和报告的负担。
自适应威胁管理
自适应威胁管理解决方案(AdTM)可建立一个充满活力的协作型系统,具备全网络可视性和控制功能,从容应对不断变化的威胁与风险。这种解决方案之所以被称为“自适应”,是因为它们改变了网络应对安全威胁的状况。例如,隔离或分隔可疑计算机、用户或网络线路,在入侵尝试中收集更多的信息,或在网络攻击中针对特定的应用程序限制带宽的分配。
AdTM解决方案主要由以下安全部件构成:包括关键网关的防火墙或VPN防御、能够阻止网络与应用攻击入侵检测和防御设备(IDP),以及实施基于身份安全政策的接入控制解决方案。整合式网络安全管理为企业提供了综合性策略,能够阻止潜在的安全威胁,管理日志、信息流、报告和流程的遵从,并处理大范围的网络与安全设备审核。
通过密切的协同合作,这些开放式平台解决方案能够:
◆在多个解决方案中,实现信息的关联,实现安全威胁的检测,即使这些威胁可以逃过单体设备的检测。同时,也生成标准的报告。
◆检测复杂的威胁,即使这些威胁可以逃过传统的端点安全解决方案。
◆根据特定的安全规则,通过向管理员报警,收集高端攻击的信息,实现有效的干扰反制措施,阻碍威胁的发生。
◆管理并严格执行安全规则,包括部署与升级客户端安全软件、签名、规则,以及新来的或返回的网络成员的用户社区。
◆在整个企业广泛的网络中,为安全分析与规则的遵从,提供各类文件以及报告信息,从规则的维护到事件的报告。
考虑换一种产品
大多数组织目前已经部署了多种软件与硬件安全产品。其中包括:
端点产品
端点产品的优势在于能够解决某一特定问题。这是其优点,但也同样是其致命的弱点。这些产品在努力解决一个又一个的问题时,逐渐变得高度短视,从而无法从大处着眼。这类点产品往往由新兴的公司所提供,并由这类组织的生存时间所引发一系列关于该产品可扩展性、可靠性和长期前景等方面的问题。
专有解决方案
企业购买硬件解决方案,主要基于期望从单一制造商处购买专有架构,从而确保互动操作顺利进行,避免网络覆盖的空白。但是,即使从单一来源入手,也仅可能从肤浅的层面实现整合,甚至在某些情况根本无法实现整合。许多所谓的套餐都多少包含一些所收购公司的传统技术,这就使品牌很难真正实现整合。在性能表现中,低效整合或多操作系统的表现都不佳,甚至会产生安全漏洞。
从企业层面考虑,由于单一来源的“锁定型”解决方案的成本与风险早已广受认可,因此企业在制造商做出专有安全架构承诺之前,即已密切关注解决方案的互操作性和对系统的综合覆盖。一套真正的基于解决方案的做法应该能够让企业灵活部署解决方案,而不会造成“锁定”,并且还必须能够在一个单一的操作系统上运行。这将帮助企业最大限度地减少及优化购置成本和运营成本。
选择AdTM,选择安全灵活
开放式平台AdTM解决方案拥有巨大的灵活性与自由度,帮助企业在部署安全的同时降低提供安全应用与服务的总体成本。
这种开放式平台解决方案通过整合并协调安全与网络基础架构,帮助企业缓解因个别产品自身无法解决而出现的安全威胁:
◆新的威胁--攻击模式检测,即使尚未发布也不例外
◆复杂的多路攻击--可以跨越多个安全设施实现关联,即使低于任何个体设备的警戒门槛也不例外
◆内部授权者的攻击--整合的接入控制实现易于识别的网络保护
AdTM解决方案为企业提供一系列实时应对方案,其中可能包括立即隔离威胁,安全预警/并通报网络人员,对违反规则的端点或网络部分进行隔离或限制应用带宽。无论是否设定采取自动、半自动或手动操作, AdTM解决方案都能实时适应并处理整个网络的安全状况,以及不断变化的威胁环境。这种智能合作使安全管理的范围、规模和效益实现大幅提高,使熟练的工作人员得以将工作重心投入到需要发挥其特殊专长的安全任务中。
当企业安全专家评估AdTM网络安全架构解决方案时, 应考虑以下标准:
◆多个安全产品完全整合--覆盖范围应包括防火墙/VPN、入侵检测/预防、网络接入控制(NAC) ,以及核心路由基础架构。解决方案应该在反病毒及反垃圾邮件软件、安全设备硬件以及现有基础架构之间形成良好的互动操作。
◆端点控制策略--网络和安全管理解决方案应该能够根据群以及用户级别强制接入和控制。
◆自动部署,具有自我复制的能力,能够整合不同的设备,并让他们适应各类政策,帮助企业,尤其是帮助大型分布式组织改进安全性与一致性。
◆响应管理——AdTM要求解决方案能够在变化的威胁环境中适应网络安全状况,提高接入限制,隔离网络路径,修改权限,更新定义与签名,并根据相关政策需求采取行动。采取默认设置和工具以简化管理,这是企业获取成功的重要因素。
◆监测、报告以及审核-确保网络长期安全的要求。技术熟练的专业人员从多种来源获取数据,制定政策,以优化安全与性能。详细的报告和审核工具有助于长期保持网络安全、遵从政策与提高效率。
◆权衡性能与安全——不能用牺牲性能的代价来确保安全。如同防火墙状态检测可能会影响性能一样,“打开”多种安全功能很可能会对性能造成影响。认真预测未来的业务需求,并仔细检查制造商的方案,对安全与性能进行权衡会帮助管理员规避那些进入死胡同或对网络性能造成挑战的解决方案。
◆可扩展性——安全设计应纳入规模化因素,以适应未来的增长与变化。可扩展性主要由两个部分组成:精细的网络设计;基础架构在扩展性能时无需添加不必要的操作系统,无需网络分层或对包流量进行优化。
结论
基于多个解决方案的办法,是保护组织安全的战斗中的一个巨大突破 ,并为组织带来选择的力量。 AdTM的出现将为零散式IT安全时代画上一个句号。AdTM能够关联多个安全产品的相关信息,协调它们对攻击做出响应,并对安全信息进行强化,迅速且长期地适应不断变化的威胁环境,从而大幅提升安全级别并且极具成本效益。企业需要仔细评估替代技术,密切地关注平衡安全性与性能,从而最大限度地发挥企业网络、预算及其员工的时间与能力。