您的網(wǎng)絡(luò)安全工具正在工作、優(yōu)化，并提供真實、可測量的業(yè)務(wù)價值。它們成功地阻止了攻擊，檢測到不法活動，并向安全團隊發(fā)出警報。

然后它發(fā)生了。在某個地方，安全部門之外的人做出了改變。該更改沒有傳達給安全團隊。現(xiàn)在突然之間，您的網(wǎng)絡(luò)安全工具變得無效，更糟糕的是，財務(wù)、品牌和操作風險已經(jīng)被引入組織。你的網(wǎng)絡(luò)安全效率已經(jīng)偏離了一個眾所周知的良好狀態(tài)。你正在經(jīng)歷環(huán)境變遷。

環(huán)境漂移

造成環(huán)境漂移的原因有很多。通常情況下，環(huán)境漂移是IT人員或相關(guān)團隊在沒有任何惡意的情況下進行更改的結(jié)果。然而，更改可能不會傳達給安全團隊，或者可能會產(chǎn)生意外后果，降低網(wǎng)絡(luò)安全有效性。

以下是一些可以引入環(huán)境漂移的方法和可能產(chǎn)生的影響的例子

1.安裝的代理無意中降低了網(wǎng)絡(luò)安全工具及其管理控制臺之間的syslog流量。這可能會導致管理控制臺上缺乏可見性，如果涉及到SIEM，則根本看不到與相關(guān)性和警報相關(guān)的事件。

2.tap或span被修改為僅向網(wǎng)絡(luò)安全工具發(fā)送單向流量。這可能導致網(wǎng)絡(luò)安全工具完全失效，因為許多工具需要訪問雙向流量才能正確運行。

3.防火墻規(guī)則配置更改是為了打開各種端口進行測試，但是配置永遠不會返回到以前的狀態(tài)。這可能導致廣泛的問題，例如數(shù)據(jù)溢出、允許明文協(xié)議、成功信標和活動C2。

4.在完全測試之前對端點網(wǎng)絡(luò)安全工具進行的更新會破壞一些現(xiàn)有功能。這可能導致端點(如筆記本電腦和服務(wù)器)容易受到憑證盜竊、數(shù)據(jù)盜竊和破壞。

5.云中的配置修改改變了網(wǎng)絡(luò)分割。這可能導致web服務(wù)器、數(shù)據(jù)庫和其他資產(chǎn)不受防火墻或WAFs等網(wǎng)絡(luò)安全工具的保護，因為從網(wǎng)絡(luò)的角度看，這些資產(chǎn)現(xiàn)在位于這些網(wǎng)絡(luò)安全工具的internet端。這種類型的錯誤在云中很容易犯，而在數(shù)據(jù)中心中就不太可能犯了，因為數(shù)據(jù)中心是物理連接電纜的地方。

這些只是幾個簡單的例子，在這些例子中，已知的良好網(wǎng)絡(luò)安全有效性基線可能會因為環(huán)境變化而漂移，而安全團隊甚至可能不知道這些環(huán)境變化。環(huán)境漂移隨時隨地都在發(fā)生，與公司規(guī)模、流程和工具無關(guān)。它極大地降低了網(wǎng)絡(luò)安全工具和團隊提供的價值，并將組織置于風險之中。

檢測和減輕漂移

由于環(huán)境漂移隨時可能發(fā)生，影響到任何網(wǎng)絡(luò)安全工具，因此當您偏離已知的良好網(wǎng)絡(luò)安全有效性狀態(tài)時，有必要使用自動化方法來檢測。換句話說，你知道當這個東西工作的時候，它停止了工作。例如，我的WAF阻止基于云的web服務(wù)器的XSS攻擊，我的DLP阻止PII通過ICMP(無論壓縮類型如何)訪問Internet，我的SIEM基于網(wǎng)絡(luò)安全工具和操作系統(tǒng)日志關(guān)聯(lián)和警告橫向移動。但現(xiàn)在有些事情已經(jīng)停止了。

那么，我們能做些什么呢

創(chuàng)建已知良好網(wǎng)絡(luò)安全有效性的基線。了解您的網(wǎng)絡(luò)安全工具如何應(yīng)對各種測試，如數(shù)據(jù)過濾、惡意軟件的安裝和執(zhí)行、信標以及跨端點、電子郵件、網(wǎng)絡(luò)和云網(wǎng)絡(luò)安全工具的數(shù)千種其他措施。在大多數(shù)情況下，您將需要調(diào)整這些網(wǎng)絡(luò)安全工具，使其按照您希望的方式運行，因為驗證其有效性的過程通常會產(chǎn)生許多缺點。

使用自動化來檢測偏離已知良好基線的偏差。您仍然可能有一個不完美的環(huán)境，但是隨著您的不斷改進，您將知道在每個階段您的網(wǎng)絡(luò)安全工具應(yīng)該如何預防、檢測、警報，等等。任何偏離通過自動化檢測到的已知良好基線的偏差都是異常。對異常的響應(yīng)意味著您將通過異常進行管理，從而使您的響應(yīng)更加精確，例如知道在云中阻止XSS的WAF在15分鐘前停止阻止XSS。

使用這些漂移作為事后分析的場景，目的是改進網(wǎng)絡(luò)安全團隊與其他人之間的流程和通信。

正在進行的緩解環(huán)境變化的努力，往往會強調(diào)需要在哪些領(lǐng)域進行投資，以進一步提高網(wǎng)絡(luò)安全的有效性，以及哪些領(lǐng)域可以消除遺留或冗余的解決方案，從而使這些資金能夠再投資于更關(guān)鍵的領(lǐng)域。繼續(xù)擴大您已知的良好基線的覆蓋范圍，以及用于驗證您的網(wǎng)絡(luò)安全有效性的測試類型。

環(huán)境變遷不會消失。有太多的變量和太多的復雜性，無法完全解決這個問題。然而，使用自動化，環(huán)境漂移可以被檢測并減輕，而這樣做的過程將對整個網(wǎng)絡(luò)安全有效性產(chǎn)生更廣泛的影響——導致改進變更管理和溝通，網(wǎng)絡(luò)安全投資帶來更大的價值和精確度，最終，減少了來自網(wǎng)絡(luò)威脅的財務(wù)、品牌和運營風險。

來源：Brian Contos