您的網(wǎng)絡(luò)安全工具正在工作、優(yōu)化，并提供真實(shí)、可測量的業(yè)務(wù)價(jià)值。它們成功地阻止了攻擊，檢測到不法活動(dòng)，并向安全團(tuán)隊(duì)發(fā)出警報(bào)。

然后它發(fā)生了。在某個(gè)地方，安全部門之外的人做出了改變。該更改沒有傳達(dá)給安全團(tuán)隊(duì)。現(xiàn)在突然之間，您的網(wǎng)絡(luò)安全工具變得無效，更糟糕的是，財(cái)務(wù)、品牌和操作風(fēng)險(xiǎn)已經(jīng)被引入組織。你的網(wǎng)絡(luò)安全效率已經(jīng)偏離了一個(gè)眾所周知的良好狀態(tài)。你正在經(jīng)歷環(huán)境變遷。

環(huán)境漂移

造成環(huán)境漂移的原因有很多。通常情況下，環(huán)境漂移是IT人員或相關(guān)團(tuán)隊(duì)在沒有任何惡意的情況下進(jìn)行更改的結(jié)果。然而，更改可能不會(huì)傳達(dá)給安全團(tuán)隊(duì)，或者可能會(huì)產(chǎn)生意外后果，降低網(wǎng)絡(luò)安全有效性。

以下是一些可以引入環(huán)境漂移的方法和可能產(chǎn)生的影響的例子

1.安裝的代理無意中降低了網(wǎng)絡(luò)安全工具及其管理控制臺之間的syslog流量。這可能會(huì)導(dǎo)致管理控制臺上缺乏可見性，如果涉及到SIEM，則根本看不到與相關(guān)性和警報(bào)相關(guān)的事件。

2.tap或span被修改為僅向網(wǎng)絡(luò)安全工具發(fā)送單向流量。這可能導(dǎo)致網(wǎng)絡(luò)安全工具完全失效，因?yàn)樵S多工具需要訪問雙向流量才能正確運(yùn)行。

3.防火墻規(guī)則配置更改是為了打開各種端口進(jìn)行測試，但是配置永遠(yuǎn)不會(huì)返回到以前的狀態(tài)。這可能導(dǎo)致廣泛的問題，例如數(shù)據(jù)溢出、允許明文協(xié)議、成功信標(biāo)和活動(dòng)C2。

4.在完全測試之前對端點(diǎn)網(wǎng)絡(luò)安全工具進(jìn)行的更新會(huì)破壞一些現(xiàn)有功能。這可能導(dǎo)致端點(diǎn)(如筆記本電腦和服務(wù)器)容易受到憑證盜竊、數(shù)據(jù)盜竊和破壞。

5.云中的配置修改改變了網(wǎng)絡(luò)分割。這可能導(dǎo)致web服務(wù)器、數(shù)據(jù)庫和其他資產(chǎn)不受防火墻或WAFs等網(wǎng)絡(luò)安全工具的保護(hù)，因?yàn)閺木W(wǎng)絡(luò)的角度看，這些資產(chǎn)現(xiàn)在位于這些網(wǎng)絡(luò)安全工具的internet端。這種類型的錯(cuò)誤在云中很容易犯，而在數(shù)據(jù)中心中就不太可能犯了，因?yàn)閿?shù)據(jù)中心是物理連接電纜的地方。

這些只是幾個(gè)簡單的例子，在這些例子中，已知的良好網(wǎng)絡(luò)安全有效性基線可能會(huì)因?yàn)榄h(huán)境變化而漂移，而安全團(tuán)隊(duì)甚至可能不知道這些環(huán)境變化。環(huán)境漂移隨時(shí)隨地都在發(fā)生，與公司規(guī)模、流程和工具無關(guān)。它極大地降低了網(wǎng)絡(luò)安全工具和團(tuán)隊(duì)提供的價(jià)值，并將組織置于風(fēng)險(xiǎn)之中。

檢測和減輕漂移

由于環(huán)境漂移隨時(shí)可能發(fā)生，影響到任何網(wǎng)絡(luò)安全工具，因此當(dāng)您偏離已知的良好網(wǎng)絡(luò)安全有效性狀態(tài)時(shí)，有必要使用自動(dòng)化方法來檢測。換句話說，你知道當(dāng)這個(gè)東西工作的時(shí)候，它停止了工作。例如，我的WAF阻止基于云的web服務(wù)器的XSS攻擊，我的DLP阻止PII通過ICMP(無論壓縮類型如何)訪問Internet，我的SIEM基于網(wǎng)絡(luò)安全工具和操作系統(tǒng)日志關(guān)聯(lián)和警告橫向移動(dòng)。但現(xiàn)在有些事情已經(jīng)停止了。

那么，我們能做些什么呢

創(chuàng)建已知良好網(wǎng)絡(luò)安全有效性的基線。了解您的網(wǎng)絡(luò)安全工具如何應(yīng)對各種測試，如數(shù)據(jù)過濾、惡意軟件的安裝和執(zhí)行、信標(biāo)以及跨端點(diǎn)、電子郵件、網(wǎng)絡(luò)和云網(wǎng)絡(luò)安全工具的數(shù)千種其他措施。在大多數(shù)情況下，您將需要調(diào)整這些網(wǎng)絡(luò)安全工具，使其按照您希望的方式運(yùn)行，因?yàn)轵?yàn)證其有效性的過程通常會(huì)產(chǎn)生許多缺點(diǎn)。

使用自動(dòng)化來檢測偏離已知良好基線的偏差。您仍然可能有一個(gè)不完美的環(huán)境，但是隨著您的不斷改進(jìn)，您將知道在每個(gè)階段您的網(wǎng)絡(luò)安全工具應(yīng)該如何預(yù)防、檢測、警報(bào)，等等。任何偏離通過自動(dòng)化檢測到的已知良好基線的偏差都是異常。對異常的響應(yīng)意味著您將通過異常進(jìn)行管理，從而使您的響應(yīng)更加精確，例如知道在云中阻止XSS的WAF在15分鐘前停止阻止XSS。

使用這些漂移作為事后分析的場景，目的是改進(jìn)網(wǎng)絡(luò)安全團(tuán)隊(duì)與其他人之間的流程和通信。

正在進(jìn)行的緩解環(huán)境變化的努力，往往會(huì)強(qiáng)調(diào)需要在哪些領(lǐng)域進(jìn)行投資，以進(jìn)一步提高網(wǎng)絡(luò)安全的有效性，以及哪些領(lǐng)域可以消除遺留或冗余的解決方案，從而使這些資金能夠再投資于更關(guān)鍵的領(lǐng)域。繼續(xù)擴(kuò)大您已知的良好基線的覆蓋范圍，以及用于驗(yàn)證您的網(wǎng)絡(luò)安全有效性的測試類型。

環(huán)境變遷不會(huì)消失。有太多的變量和太多的復(fù)雜性，無法完全解決這個(gè)問題。然而，使用自動(dòng)化，環(huán)境漂移可以被檢測并減輕，而這樣做的過程將對整個(gè)網(wǎng)絡(luò)安全有效性產(chǎn)生更廣泛的影響——導(dǎo)致改進(jìn)變更管理和溝通，網(wǎng)絡(luò)安全投資帶來更大的價(jià)值和精確度，最終，減少了來自網(wǎng)絡(luò)威脅的財(cái)務(wù)、品牌和運(yùn)營風(fēng)險(xiǎn)。

來源：Brian Contos