今日网络世界,围绕网络可见性,IT人发现自己不断在问一些很难回答的问题:我们怎样看到整个网络?我们需要哪些工具?如何保持合规?虽然不是生死攸关的问题,不像《哈姆雷特》里面“生存还是毁灭”那么残酷,对公司安全态势而言还是很值得一问的。尤其是在数据和网络复杂度增加,对隐私和安全的关注度上升的情况下。
电子商务、大数据、社会协作和互联网等方面的创新,推进了现有计算系统的极限,反过来,也迫使公司企业进行基础设施升级,包括迁移到云端。加密也覆盖了大半个网络。在此过程中,公司企业及其员工获得了生产力和安全的提升,但同时也牺牲了可见性与控制力。考虑到现代企业网络处理的大量敏感信息,可见性与控制的丧失可能会成为大问题。
这样一种环境里,复杂漏洞利用依然会发生,信息依然会被劫持——只要复杂性阻碍了细粒度观察网络中发生事件的能力。解决起来很难,但也不是完全没有解决方案。安全风险及合规限制了完整可见性的问题该如何解决,公司企业可以考虑如下做法:
一、透过掩码看数据
完整的可见性是安全必备要素。但有些东西必须保持不可见,比如个人可识别信息(PII)和关键生产数据等。各行各业都有相关数据标准和规则限制谁能看到并使用这些信息。怎样保证既有可见性又合规呢?
数据遮掩,也就是数据访问限制基本上让数据不可见,通过部分模糊或用虚假信息替换的方式,换掉敏感数据。基本上,数据遮掩,其实就是数据被修改成基本信息保持不变,而关键信息被改变的情况。
这并不意味着完整可见性再也不可获得,仅仅只是不应该被看到的数据不可见而已。
二、什么时候遮掩
区分哪些数据需要遮掩,哪些数据要保持可见的时候,尤其是在要满足数据保护要求的情况下,有几个因素是必须考虑的。下面几种情况中,数据遮掩特别有用。
1. 测试
公司企业必须常用逼真的数据集来测试和开发相关软件。然而,创建伪数据集有可能既耗时又昂贵。为应对这种情况,可以对真实数据进行遮掩后利用之,在不危及安全的情况下提升效率。这对外包也很有用,因为可以限制真实数据的暴露面。
2. 监视和记录
公司企业往往需要监视和记录数据,但根据法律法规,PII是不能被存储的。数据遮掩可以让公司企业既记录下来数据,又模糊掉敏感数据,***规避了合规问题。
3. SSL解密
虽然可以保护数据,SSL(安全套接字层)加密同样会带来风险,因为黑客可以利用加密数据偷偷潜入,盗取敏感信息。因此,公司企业解密并检查流经自身网络的SSL流量,确保没有恶意活动。但SSL解密意味着,有权访问监视工具的任何人,都可以看到加密背后的敏感数据了。幸运的是,有工具可以在解密SSL数据的同时,遮掩起不应该暴露的数据。
三、正确遮掩
不是所有的数据遮掩解决方案都是生而平等的。为确保你选到正确的那个,知晓其用法是重中之重。总而言之,要知道什么是该遮掩的,以及该如何便捷访问和分发数据。
比如说,仅仅是为了将数据分发到DLP(数据丢失防护)设备进行分析,还是必须适合原生搜索?如果是后者,解决方案就应该支持正则表达式(Regex)。另外,如果通过正则表达式搜索访问数据,网络包代理就值得考虑了。网络包代理可以轻松收集数据、检索和分发以监视设备。还有可在正则表达式的基础之上与数据遮掩解决方案协作良好的处理器,有助轻松筛选流量,识别异常行为及应用使用中的其他趋势。网络管理员只需简单地指定需要查找哪些流量,以及结果的呈现方式即可。
最终,在如今这复杂的网络和监管环境下,安全归结为网络被看到的方式,而不是是否能看到网络全貌。如此之多的数据萦绕周围,怎么处理这个问题,最终还是要落到公司企业自身来决策。希望不要像我们的老朋友哈姆雷特一样以悲剧收场吧。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】