尽管网络和安全对于彼此以及对于业务运营都至关重要,但网络运营和安全运营团队(分别是NetOps和SecOps)通常是孤立的。
如果不完全了解SecOps团队的工作,NetOps团队可能无法有效帮助抵御重大网络安全威胁,例如漏洞和恶意软件。网络性能监控供应商Viavi Solutions公司的高级解决方案工程师Matt Allen表示,NetOps团队必须了解网络安全基础知识,以及SecOps团队每天工作中如何增强企业的网络安全和网络安全战略。
在一次网络研讨会中,Allen试图弥合NetOps和SecOps专业人员之间的差距。他探讨了针对网络工程师的关键网络安全基础知识,包括不同类型的网络攻击-和攻击者-以及安全服务提供的不同防御层。
网络工程师的三个网络安全基础知识
企业的SecOps团队每天处理无数的网络安全事件,他们不断地争分夺秒地及时修复问题。以下是NetOps团队应该了解的三个基本网络安全基础知识。
网络攻击者类型
根据Allen的说法,网络攻击者通常属于以下三类:
- 低风险攻击者。与更高级的攻击者相比,这些攻击者的技能较低,也没有那么有耐心,并且使用在线免费提供的工具。他们的攻击通常是攻击者类型中最快和最简单的。
- 中等风险攻击者。这些攻击者比低风险攻击者更有耐心。黑客行动主义者属于这一类,他们的目的是窃取知识产权,或因道德、政治或普遍分歧而企图发动攻击。
- 高风险攻击者。高风险攻击者愿意在几个月到几年的时间里慢慢了解员工的习惯和业务运营。Allen称,这些可能是民族国家或有组织的犯罪攻击者,他们希望获得尽可能多的收获。
NetOps团队应该了解网络攻击者的基本指标,因为网络数据(例如数据包或流量数据)可以帮助跟踪不良行为者的行为。这些知识可以使团队在攻击发生时阻止攻击,防止攻击或帮助团队在无法阻止攻击时从错误中吸取教训。
Allen称:“如果企业担心真正娴熟的攻击者会花时间发起攻击,你需要详细的数据来追捕他们,因为他们会尽量保持安静。网络数据有助于大多数检测和攻击事件后补救。”
网络攻击类型
与各种类型的网络攻击者一样,企业面对着多种类型的网络攻击。根据Allen的说法,最常见的攻击包括以下:
- 高级持续攻击(APT)。高风险攻击者是最有可能的APT罪魁祸首。这些攻击涉及入侵者(未被发现)花费很长时间了解一个组织,该组织通常是高级别的,例如政府或金融组织。APT通常会窃取数据和信息,而不是对网络造成重大损害。
- 通用漏洞披露(CVE)。虽然不一定是攻击,但CVE是另一类网络威胁。漏洞和披露分别使攻击者能够直接和间接地访问网络资源。CVE威胁需要补丁,SecOps团队为所有易受攻击的硬件或软件处理这些补丁。
- 网络钓鱼。网络钓鱼攻击最常见于员工收到的未经请求的电子邮件,这些电子邮件可能看似来自信誉良好的来源,但其中包含用于窃取员工凭据的恶意链接或附件。Allen说,在90%的数据泄露事件中,最开始是网络钓鱼攻击。
- 勒索软件攻击。勒索软件是一种越来越常见的基本恶意软件类型。勒索软件涉及锁定或加密某人数据并要求付款作为回报的攻击者。低风险攻击者通常会执行勒索软件攻击,因为如果组织愿意付款,它们是一种快速简便的赚钱方式。
- SQL注入攻击。SQL注入以机密数据为目标,以便将其公开。为了完成SQL注入,攻击者使用SQL代码访问加密资源或更改机密或敏感数据。这些攻击可能会损害任何具有SQL数据库的Web应用程序。
对于APT攻击,NetOps团队可以提供网络数据,他们可以追踪攻击者的数据以查看他们访问、更改或定位的内容。此外,可以说,NetOps团队最熟悉网络的运行方式,因此他们可以利用这种专家级的洞察力在问题出现时或在他们造成无法弥补的损失之前发现问题。
Allen称:“你必须非常了解自己的流量。如果我知道打印机应该与这台机器对话,那么当发生异常情况时,我就能知道。这对每个人来说都是不同的,所以设备指纹和基线检查非常重要。”
安全服务类型
网络安全基础的关键因素是企业投资的安全服务或服务。Allen说,大多数安全服务都属于三层防御之一,尽管很多服务结合了多层,或者企业可能会选择多供应商、多层方法。这些防御层如下:
- 保护。保护层就像城堡周围的护城河。保护服务仅旨在阻止未经授权的用户进入网络。示例包括防火墙、VPN和入侵防御系统。
- 检测。检测层是城堡守卫:如果服务感知到威胁,它会提醒SecOps团队并表示应该调查潜在威胁。这些服务不执行警报以外的任何操作。示例是入侵检测系统。
- 响应。响应层包括骑士-甚至是巫师-采取行动保护王国或网络,Allen说。这些服务提供机器重新映像功能,并且可以主动关闭网络上潜在的有害活动,以验证是否存在问题。示例是网络性能监控和诊断工具。 虽然企业可能难以在供应商之间进行选择,但IT团队可以提出几个问题来确定哪种服务提供哪一层防御以及企业是否需要该功能。
Allen称:“一切都在发展,我们真正需要知道的是:这会阻止流量吗?它会允许它并只是提醒它吗?或者这是帮助你在有人进入时追捕的工具?”
随着NetOps团队在安全问题上花费更多时间,这些网络安全基础知识对于确保组织保持安全以及帮助NetOps和SecOps团队弥合孤立的差距,并共同努力维护安全至关重要。