安全平台不是什么新概念。安全工具和供应商在公司内部无序蔓延的相关问题也是老生常谈。下一代防火墙(NGFW)背后的最初理念,是将多个产品混合到一个平台中,从而减少IT开销,并简化已不堪安全设备重负的布线柜。这一理念行之有效。NGFW解决方案迅速成为全世界几乎每家公司的安全实现基石。
然而,问题与挑战依然存在。互操作性就是一例。很多此类解决方案中,各种各样的技术(通常是防火墙、IPS、Web过滤、杀毒软件和沙箱解决方案的组合)并没有真正像一个无缝解决方案那样协同运作。许多组件采用不同操作系统,甚至有单独的管理控制台。另一个问题是平台中嵌入的解决方案的质量。打造了NGFW平台的安全供应商或许用了一流的防火墙来锚定解决方案,但随后就在安全措施名单上填上了二流IPS或Web过滤解决方案。关于NGFW平台的价值和最佳安全方法的争论迅速升温。
如今,数字创新迫使传统网络发生了彻底的变革。多云环境和数字中心由实体基础设施和虚拟基础设施组成,分散的分支机构、移动办公员工、家庭办公室等割裂了传统边界,打破了在网络边缘部署NGFW解决方案监控出入站流量的传统安全模式。现在每个新网络环境都有其独特的需求和挑战,因此,安全解决方案已经开始如雨后春笋般出现在网络上。这在部署、优化和管理方面造成了一定程度的复杂性,让本就不堪重负的IT团队更加应接不暇。而传统安全平台方法是无法解决这一问题的。
IBM近期一份调查报告指出,企业现在平均内部部署45个安全工具。更糟的是,需要响应的每起事件都要跨19个不同工具协调操作。很不幸,这些工具原本就不是为这种互操作性而设计的。企业再一次面临供应商和解决方案无序蔓延的困境,被迫手动关联威胁情报,无力实现任何形式的自动化来简化这个过程。IBM表示:为什么安全事件的驻留时间现在以月计?为什么安全事件的损失现在高达每起数据泄露价值860万美元?这就是其中部分原因。
我们需要新型安全平台
我们需要的是安全平台新方法。一种能在一个统一的解决方案中弥合企业所需全部关键安全功能的方法,这些功能无缝衔接,能够保护整个网络,让任何用户能在任意设备上安全访问任何数据或应用,无论这些数据或应用位于何方。但要在当今分布式网络环境中实现这一点,我们需要解决这种方法首次迭代的问题。为此,需围绕三个关键概念打造出有效安全平台:宽广、集成、自动化。
可在任何地方部署的平台
安全平台想要有效,就需要能在每个边缘轻松一致地部署,无论部署的目标是传统或高度分布式的数据中心、公有云环境,还是分支机构和零售场所。而由于物联网设备、家庭办公室和离网移动用户的增长,安全平台的部署还需要延伸到这些地方。这个平台要能在所有云环境原生运行,要能以任何可能的形态存在,并且能在任何环境中部署。
这种宽泛的方法确保了它能提供同等、一致的防护,无论是保护在少数地点运营的小型公司,囊括医院、诊所和医生办公室的医疗系统这种复杂环境,交易大厅或游戏场景这样的高速事务环境,使用大量大象流建模和3D渲染的制药或航空公司,还是保护经营地点跨越多个地理区域的大型跨国公司。
每个组件都需要协同工作
不同于过去的安全平台,有效解决方案需要包括能作为单一集成系统协同运作的各种工具。这意味着,作为该平台一部分的各安全解决方案应该能在通用操作系统上运行,利用开发API,或者采用通用标准构建。一个开放的系统同时意味着,能在保持互操作性的同时利用来自不同供应商的工具,让企业能够使用经过测试和验证的工具来提供最佳的解决方案。
在当今高度动态的环境中,集成不应局限在平台的安全元素方面。安全和网络还需作为统一的解决方案发挥作用,构成所谓安全驱动的网络。如此一来,当网络通过调整连接或扩展资源来适应环境中的变化时,安全就能作为完全集成的系统的一部分自动响应。
而整个这一切需封装进一个通用管理与编排系统,以便能够将可见性和控制延伸至整个分布式网络。其中就包括关联从任意位置任何安全设备收集来的威胁情报、集中配置、确保一致的策略实施,以及对检测到的威胁协调统一的响应。
支持自动化的平台
攻击袭来只在一瞬间。有鉴于当今攻击的复杂性和速度,防御者没有时间或资源来关联威胁情报,也无力挖掘不同解决方案汇聚而成的日志文件大山来检测安全问题。只能求助于自动化。但如果安全解决方案各自为战,此类自动化永远无法实现。
只要工具能作为统一的解决方案运作,机器学习和人工智能这样的东西就可以使企业能够以数字速度检测、调查和响应威胁。即使是高级管理系统,从XDR到SEIM,再到面向NOC和SOC的SOAR系统,当其监控和管理的各个设备都能协同工作的时候,它们的效果也都得到了增强。
当今网络需要新型安全方法
企业当前面临的挑战无法使用曾经用过的系统和策略解决。安全需要像所保护的网络一样全面适应和调整。二十年前引入的安全平台概念很不错,而且今天看来仍不失为一个好方法。但这个概念需要像其他一切事物那样调整和更新。
今天的安全平台需要横跨整个网络,随着自身保护的环境一起扩张和发展。这就要求平台要围绕三个关键组件设计:宽广的部署和实现、安全与网络元素之间完全集成,以及支持基于机器学习和人工智能的高级自动化。