我们的安全团队应该靠得到资金来提高应用安全,我们考虑了诸如应用白名单、下一代防火墙、应用防火墙和应用活动监控等技术。然而,我们可能只被批准实施一种新产品。在这种特定情况下,我们应该选择什么产品呢?
在紧张的预算下实现网络和应用安全通常需要达成折中的方案,所以你要仔细地考虑确保做出正确的选择。
很明显你最关键的资产优先级最高。将你的应用和应用处理的数据进行分类,然后按照重要性对它们进行排名。你可以使用危险模型来辨识和评估应用存在的风险,选取排名前三的关键风险然后决定如何最好的减轻这些风险。你选择的技术依赖于你们安全策略的目标和要求,以及相关的法律和法规要求。
在你正在考虑的应用安全工具类型中,应用白名单技术对终端用户的系统提供了最大程度的控制。基本上,白名单技术是一种默认拒绝(default-deny)模式,与防病毒的默认允许模型相反。尽管这种笼统的概念十分简单——只允许批准的应用运行——但对于用户来说,他们很难接受PC机和平板电脑被锁定的这个事实。被考虑的任何产品必须能够自动化进行异常管理和列表管理。
如果一想到要告诉你的老板他最喜欢的应用不在白名单上会让你倍感压力,那么应用防火墙能提供对常见、以及新兴威胁的防护。你甚至可能在现有的防火墙上拥有需要的能力。一些大型的防火墙厂商以插件模块提供Web应用层防护,极大地减少了管理一台单独防火墙所需的费用和精力。但安装防火墙是一回事,主动的24 x7小时管理又是另一回事。确保你的管理员有能力和时间来处理告警和日志评审。如果你的职员已经拥有调试和管理应用防火墙的技能,这些额外的费用可能仅是增量的(增量成本)。
应用活动监控需要日志管理产品将所有的日志信息推送到某个地方,并比较来自各种来源的条目以便提供所有应用活动全部的视图。大多数组织海量日志信息使得手动进行日志分析不太可行,所以自动的日志管理是必要的,帮助对跨整个企业的日志进行归并处理、关联、并对日志中捕捉到的信息做出响应。有了该工具提供的可视性,你能主动地解决潜在弱点,更加有效地对安全事故进行响应。
相对于在单个功能点设备上进行补丁管理、创建它们自己的日志,一个备选方法是采用统一威胁管理设备(UTM)。因为它的各种服务设计用来协同工作,该设备从根本上提供了更为简单的网络安全架构,并且可以通过集中化的控制台进行管理。UTM节省了时间、金钱和人力,使其成为极具性价比的选择、具有更低的日常维护运行费用。在你的网络上减少的物理设备也减少了你必须处理的厂商数量,所以你不需要具有多种技能的IT部门来部署、管理和更新来自不同厂商的不同产品。即使是称职的管理员,避免冲突或是由于误解哪些产品处理哪些威胁引起的不完全的规则集,都是一项耗时的任务。
单独依靠UTM的不利之处是它引入了单点故障,且因为UTM必须处理所有的任务,网络性能和可扩展性也是需要考虑的问题,特别是在大型的企业中。此外,如果你首选的UTM不具备满足安全策略要求的所有功能,那你必须投资额外的设备。还有,你可能已经拥有了很棒的反恶意软件网关,那就没有必要使用和它功能重复的UTM了。
无论你选择哪种类型的应用安全软件或是设备,获取候选产品的评估版拷贝,并在测试环境中部署。只有那些满足或是超出你短期和中期需求的产品才能入围你的名单。同时,确保它的费用没有超出需要保护的资产的价值、以及泄露事件预计的任何成本。
【编辑推荐】