juniper-Backspace

奥德赛F9

在进行销售的途中，Joe在公司的香港办事处稍作逗留，此时正值超级杯开赛之际，于是，他浏览了自己最喜欢的球队的网站，不幸将笔记本电脑感染了蠕虫（恶意代码）。随后，为了更新销售记录并检查库存情况，他使用公司的***连接了达拉斯总部的网络。　　达拉斯的***检测与防御设备(IDP)检测并阻断了蠕虫，然后向香港的***发送信息，告诉它第47个流中被检测出恶意软件。***平台得知第47个流来自Joe，于是自动断开了他的网络连接。同时，***平台还在Joe的笔记本电脑上，以弹出界面的形式通知他该设备已被检测出恶意软件，在问题得到解决之前，他的笔记本电脑将被隔离处理。这个弹出界面中还包含一个URL，用于帮助Joe补救问题，并告诉他一旦问题得到解决，系统将立刻恢复他的网络访问权限。
　　在全世界，安装在公司网络上的***和IDP产品都已检测出了相同蠕虫的存在，并采取了适当行动。此外，每个设备都生成了300-500行的日志文件，用于描述事件情况。在达拉斯，安全威胁管理系统将这些日志收集在一起并进行关联，最后确定这些日志从不同角度描述了同一事件。于是，管理系统向正在家中熟睡的IT经理发送电子邮件，通知他发生了一起事故并且已经得到解决。
　　这类动态的协同威胁响应协同机制并非虚构，而是真切存在的，它部署于自适应安全解决方案之上。Gartner副总裁兼院士Neil MacDonald先生指出，作为同步安全系统，自适应威胁基础架构能够实时响应威胁，而不是在***实际发生后设法去弥补损失。MacDonald说：“安全解决方案最终将发展成为自适应系统，支持互联服务之间进行通信并且共享信息，以便更快做出更加明智的安全决策。”1
　　自适应安全解决方案不仅能够实时协调安全设备和网络设备，以便识别***并阻断***，而且还能提供综合的日志记录、事件关联和报警功能，以便帮助用户分析并解决问题。Gartner副总裁 MacDonald及其他业界分析家一致认为，自适应安全系统是帮助企业阻断复杂威胁的新方法。通过合理的规划以及安装适当的系统和工具，企业将能够部署自适应安全解决方案，从而成功抵御现在和将来的***。
　　孤岛的困惑
　　铸就一道统一安全防线并非易事。病毒、蠕虫、拒绝服务(DoS)和其他威胁都在飞速发展，空前复杂的混合***和目标***毫无安全特征可言，令企业陷入困境。恶意码编写人员及***利用网络、主机、应用、数据库及内容安全系统之间缺乏可视性和协作的弱点，甚至还利用时间间隔来发动***。从安全漏洞被发现到厂商发行补丁和修复包，***人可以利用这段空档创建新型恶意软件，赶在IT人员安装补丁之前发动***。最后，骇客还会发动高速***，在公司觉察之前迅速完成偷袭。
　　大多数企业都安装了不同厂商提供的多个安全和网络设备。一般情况下，企业会单独管理和运行每个设备，独立跟踪事件并生成设备专用的大量日志，导致IT必须处理大量的管理“孤岛”。此外，不同的IT人员通常只擅长某类设备或者某家厂商的产品，进一步加固了这种“孤岛”结构，令事态进一步恶化。IT人员通常只会监控他们熟悉的设备，而忽略其他设备发送的告警和管理数据。或者，由于***信号分散在多个控制台上，并且缺乏切实可行的关联机制，因此，IT人员根本不会注意到网络***的存在。
　　此外，管理孤岛还使企业难以识别并阻断能够绕过传统检测机制的混合***。鉴于管理数据的总数非常庞大，因此，企业根本无法手动审核并关联它们；大型企业和电信运营商每分钟最多可生成1万个事件和40万个流。IT部门也常把网络和安全设备部署在不同时区的多个地理位置，进一步加重了IT的工作负担。此外，管理孤岛也为IT部门的控制和审计工作带来了挑战，使企业无法满足政府及行业规章制度的要求。
　　自适应安全解决方案　—　协同响应系统
　　在Gartner副总裁MacDonald看来，自适应安全解决方案“击破了这些孤岛”。自适应安全解决方案能够跨越所有的网络和安全产品，提供整个网络的可视性及协同威胁响应能力，从而使企业能够开展综合事件分析工作，以便快速识别并阻断威胁，同时满足法规的要求。
　　当安全事故爆发时，时间的把握极为重要。威胁越早得到控制，造成的损失就越小。但首先，您必须找出问题及其根源。此时，如果IT人员必须查看多个管理系统和数百个分散设备提供的大量日志，那么，问题的寻根溯源将变成一项极为艰巨的工作。因此，查看有关事件的综合视图是您实时发现并且动态牵制复杂***的关键要素。
　　庆幸的是，领先厂商已经把具备这一功能的全新管理设备推向市场，这就是 “安全信息事件管理器(SIEM)”。它不仅是关联引擎，还能整合、分析并关联由安全和网络设备以及台式电脑和服务器提供的大量日志和流数据。
　　SIEM是自适应安全解决方案的主要组件，支持IT人员在整个网络中查看并控制安全事件，提供实时及历史视图，以及全面的报告。利用SIEM提供的关联规则，IT人员能够检测出特定事件或因果事件，比如，使其能认识到路由器和防火墙从同一IP地址识别到***，并采取适当行动。某些厂商还利用系统的集中日志功能来简化法规遵从性流程，提供预定义的法规遵从性报告来满足支付卡行业数据安全标准(PCI DSS)、健康保险可移植性和责任法案(HIPAA)及Sarbanes-Oxley Act (SOX)等规章制度的要求。
　　实现自适应安全性的第二个要素是自动响应协作。要想实现这个目标，安全和网络平台需要彼此通信，以便找出威胁并阻断威胁。路由器、交换机、防火墙、远程接入平台和网关、IDP—所有这些设备都应能够共享有关威胁流量来源和性质的信息，并且通过协作来响应威胁。但是，自适应安全系统不支持这些产品盲目地开展自动补救工作，而是为IT提供足够的灵活性，支持他们规定安全和网络产品如何响应威胁，或者规定是否需要操作人员手动介入。
　　创造“自适应”环境
　　Gartner副总裁MacDonald先生预计，自适应安全技术还会继续发展，但企业现在就可以开始实施协同威胁管理解决方案。与所有其他的安全解决方案一样，自适应安全系统依赖技术和流程来充分发挥效力。在技术方面，企业可从以下几步入手：
　　选择基于标准的技术和设备。
　　如果设备基于标准而构建，那么无论它来自哪家厂商，都能确保互操作性，从而支持企业构建自适应安全系统等多厂商解决方案。例如，要想构建网络访问控制解决方案，企业可选择支持Trusted Network Connect开放架构的厂商。这个架构由Trusted Computing Group所定义，允许多厂商网络端点之间进行互操作。802.1X是另一个主要标准。IT部门应确保所有的边缘交换机都积极支持802.1X，以便轻松升级交换机代码，甚至通过全新的交换机来替换原来的交换机。在管理方面，IETF的Netconf网络管理协议为设备配置提供了标准机制，能够简化中央策略管理系统的使用流程。
　　部署安全信息事件管理器。鉴于企业网络的异构性质，安全信息事件管理器必须能够读取、分析并自动关联多个网络和安全产品提供的日志和流数据。遗憾的是，目前整个行业还没有出台针对日志和流数据的标准格式，因此，IT部门必须认真评估SIEM，以确保SIEM能够支持现有的网络和安全基础架构。此外，IT部门还必须为公司寻找可扩展的系统，以确保该系统既能支持现在的日志和流数据，又能满足未来的容量增长需求。
　　寻找允许多个设备通过协作来实时管理威胁的厂商。与独立运行的设备相比，如果安全和网络设备能够彼此通信和协作，便能更加快速可靠地识别威胁并牵制威胁。例如，如果远程接入设备能够与IDP进行通信和协作，那么，对于本文开头提到的情况，IDP将能够指挥远程接入平台丢弃存在恶意软件的用户连接。关于流程和策略，以下几步可帮助企业实施自适应安全系统。
　　执行多层保护计划。许多企业都使用深层防御战略，从网络核心到外围直到远程站点，部署多个安全层，以便将保护关键资源和抵御***的重任委托给多个安全机制 — 为实现协作威胁管理奠定了坚实基础。
　　针对具体的目标和位置来部署安全技术。数据中心所需的安全机制有别于分支办事处，分支办事处所需的安全机制又不同于园区网络。庆幸的是，企业能够从防火墙、IDP/IPS和SSL ***等种类繁多的安全产品中加以选择。通过为每个具体位置实施最适合的安全解决方案，IT部门可确保合理保护关键资源，不受用户连接网络的位置或方式影响。
　　集中管理整体安全性。 最大限度地减少管理控制台的使用数量。SIEM等产品能够针对安全信息和事件提供全网络视图，并且能够通过中央管理系统来分析威胁。同样，中央网络和安全策略管理器还支持IT人员从一个位置调配设备并制订策略，从而确保在整个企业中一致地执行安全策略。
　　将自适应安全解决方案的实施工作交由高级员工负责。自适应安全解决方案支持多个网络和安全设备通过协作来管理威胁，这是该产品的主要价值之一。经验不够丰富的IT人员虽然受过大量培训，但通常只熟悉某个产品或某家厂商的产品，这种“孤立性”限制了他们定义和实施跨平台安全解决方案的能力。高级员工经验更丰富，涉足更广泛，是成功实施自适应安全解决方案的最佳人选。
　　利用更少开支实现更高的智能安全性。自适应安全解决方案支持用户在整个网络中实时查看异常流量，并且支持网络和安全设备协同开展行动，从而加速了风险识别和牵制工作。自适应安全解决方案能够提高整个公司的安全状态、增强资产保护力度和法规遵从能力，同时提高IT部门的工作效率，为企业创造优势。
　　自适应安全解决方案能够提供综合的事件告警，使IT人员无需为了识别一起事故而去查阅十几项日志和告警，从而加快了故障排除和补救流程，最大限度地降低了***对企业的影响。此外，自适应安全解决方案还能适度地自动管理威胁，执行用户自我补救和自动设备隔离等任务，确保将问题扼杀在萌芽状态，同时减轻IT人员的工作负担。
　　自适应安全解决方案能够最大限度地减少管理系统的使用量，从而降低IT人员的学习、操作和维护开销。新员工很快便能熟练操作自适应安全系统，轻松获得全部信息，确保不出现遗漏或疏忽现象。据自适应安全解决方案的现有客户反映，他们至少可将安全管理团队的规模缩减1/3，从5-7人变成3人或5人。
　　自适应安全解决方案可帮助企业遵从法规要求，确保正常营业。例如，据开展信用卡处理业务的客户反映，使用自适应安全解决方案帮助他们成功满足了PCI要求，从而避免了因违规而支付罚款或停业整顿。通过提供现成的法规遵从性报告，自适应安全解决方案还能大幅度减少从事法规遵从人员的工作时间，并且减轻他们的工作负担。通过适当的产品及合理规划，企业可以立即部署自适应安全解决方案，从容应对将来可能出现的任何情况。