如果想保证网络基础设施的安全,企业网管必须要监控路由器、交换机和其他网络设备的状况。而这种可见性将使网管能够快速检测和调查对外围安全的威胁,然而一旦出现了下面的4个预警提示后,可千万不能将其忽略视之。
预警一:未经授权登录
虽然大多数登录到网络设备的尝试都是由网络管理员执行的有效操作,但有些则不是。异常事件包括管理员在工作时间意外或节假日对设备的访问、登录尝试失败,或修改访问权限等等。而无法及时检测到可疑的登录尝试,将导致企业容易遭受攻击者的暗算。
对可疑事件的即时警报让IT人员能够在网络受到威胁之前采取行动。这种做法也有助于合规性审计,因为它提供了证据,可对特权用户及其相关设备上行为活动受到密切监控。例如,谁登录了什么设备,以及多久登录一次等等。
预警二:随机配置设备
与网络设备相关的主要威胁还有配置的不当。一次不正确的设备调整可能会削弱网络外围的安全性,在监管审计期间引发问题,甚至会导致代价高昂的系统中断,从而使网络业务陷入困境。
例如,防火墙配置错误可以让攻击者轻松访问企业内网,进而引发持久的破坏。因此,了解谁改变了什么,将为运维人员提供对网络设备的洞察与控制。而持续的审计流程还能让员工有更好的用户责任感,并在潜在安全事件引发更大麻烦前,快速检测并消除掉到它们。
预警三:扫描出安全威胁
不法黑客常常通过网络扫描,来了解一个企业的网络架构与防御响应程度,从而对该网络实施精准打击。如果将网络设备上扫描到的安全威胁忽视掉,又没有完善的设备可视化体系,那么攻击者的恶意行径无疑会被错过,直至企业敏感数据被破坏。
因此为了加强对扫描威胁的保护,将数据泄露的风险降至最低,请确保对网络设备进行持续监控。而这种可见性将有利于运维人员了解哪个主机和子网被扫描了,他们是从哪个IP地址开始扫描的,以及进行了多少次扫描尝试等等。
预警四:异常虚拟专用网登录
虚拟专用网接入是许多企业提高远程连线安全性的常用方法,但却存在着许多安全风险。实际上,虚拟专用网连接通常由企业中任何人在未经任何批准的情况下使用。实践表明,没有100%的安全虚拟专用网,任何虚拟专用网连接都是一种风险。
主要的风险场景包括通过公共Wi-Fi连接的用户(因为有人可能会窃取他们的登录凭证)或通常不使用虚拟专用网的用户突然开始使用它(这可能表明用户丢失了设备,而其他人正在尝试使用它登录)。而只有对网络设备保持可见性,才能有效跟踪每次虚拟专用网登录尝试。但通过网络的可见性将会提供有关尝试访问网络设备的用户、每次尝试身份验证的IP地址,以及每次虚拟专用网登录失败的原因的信息等。此外建议,只有经过适当的监管批准,并且仅向那些由于业务需要不得不使用虚拟专用网访问的员工,提供通过虚拟专用网访问的权限才行。
结语
网络安全既复杂又具有挑战性,如果想快速强化企业的网络安全,那么上面四个预警千万不能忽略掉。当然这也对网络安全设备和安全团队提出了挑战,因为真正的攻击意图往往被海量的威胁警报信息所淹没,这时如何快速从众多的预警情报中挖掘出真实攻击,就显得极为关键了。