胡立

網(wǎng)絡安全領域如今正處在向智能解決方案轉變的早期階段。人工智能和機器學習已經(jīng)在數(shù)據(jù)中心產(chǎn)生巨大影響，這一點在網(wǎng)絡安全方面更為明顯。

智能和自動化已經(jīng)在創(chuàng)建和管理智能實時的微分段策略，分析網(wǎng)絡流量以發(fā)現(xiàn)可疑活動或異常數(shù)據(jù)移動，以及管理最小特權和零信任環(huán)境中的訪問發(fā)揮重要作用。

總部位于波士頓的律師事務所Goulston&Storrs轉向采用智能網(wǎng)絡安全解決方案來保護數(shù)據(jù)中心，因為專注于保護組織周邊環(huán)境的標準解決方案存在致命缺陷。

該公司首席信息官John Arsneault說，“傳統(tǒng)方法缺乏在事件發(fā)生后知道發(fā)生了什么，很多公司可能在幾個月后都不知道受到了攻擊，攻擊者已經(jīng)嘗試在網(wǎng)絡上攻擊主機和應用程序，并獲取重要的數(shù)據(jù)?！?/p>

他說，“新的網(wǎng)絡安全技術（例如微監(jiān)控技術）提供了第2道防線。如果網(wǎng)絡攻擊者確實掌握了用戶憑據(jù)，或者利用了企業(yè)的IT漏洞，那么這些公司的經(jīng)營將受到很大的影響?！?/p>

微分段的問題在于花費企業(yè)大量的時間和精力。

他說：“人們沒有跟上網(wǎng)絡安全發(fā)展的步伐，并可能更開放脆弱。即使網(wǎng)絡工程師或安全工程師致力于跟上其發(fā)展和變化，也是非常困難的。”

Goulston&Storrs律師事務所希望獲得更好的網(wǎng)絡安全性，但不希望增加更多工作人員。瞻博網(wǎng)絡公司安全戰(zhàn)略總監(jiān)Laurence Pitt說，“更多的數(shù)據(jù)、更多的流量、更多的工作負載以及更多的員工來管理網(wǎng)絡IT，這已經(jīng)成為安全行業(yè)的一個常見呼聲?！边@些并不是新挑戰(zhàn)，由于變化速度不斷加快和復雜性增加，安全性也在下降。他說，“通過將威脅情報和自動化嵌入到每個路由器、交換機、網(wǎng)關和無線接入點，網(wǎng)絡需要成為安全人員的第一道防線?！?/p>

網(wǎng)絡分段

網(wǎng)絡分段的想法是網(wǎng)絡的不同部分之間存在障礙，這種障礙就像物理上的“氣隙”，不允許流量進入?；蛘咚鼈兛梢允翘摂M的，是以防火墻、加密隧道和類似技術的形式。

在快速變化的現(xiàn)代化數(shù)據(jù)中心環(huán)境中，無需人工智能工具即可有效管理微分段。

Edgewise Networks公司工程副總裁Tom Hickman說：“我們過去通常1年發(fā)布1個版本，在2019年6月的7天內(nèi)發(fā)布了9個版本，每個活動都是網(wǎng)絡技術的重大變化。如今，企業(yè)必須擁有能夠響應動態(tài)變化的技術?！?/p>

智能解決方案在2個方面解決了這些問題。首先，算法用于映射網(wǎng)絡中的流量，并提取網(wǎng)絡行為的通用規(guī)則供分析人員查看。例如，某些類型的應用程序與后端數(shù)據(jù)庫進行通信。

用于生成地圖的技術通常是聚類分析的一些變體，聚類分析是一種識別類似項目組的機器學習技術。類似的算法用于電子商務推薦引擎和自動識別客戶群的營銷工具中。然后，此映射用于生成虛擬網(wǎng)段，以便與數(shù)據(jù)中心風險偏好相匹配的方式平衡可用性和安全性。

如果出現(xiàn)攻擊網(wǎng)絡分段但符合預先批準策略的新流量，則會自動重新分段。如果新流量不在允許的范圍內(nèi)，則進行標記，可以供網(wǎng)絡管理員或安全分析人員進一步關注。

Arsnault表示，Goulston&Storrs律師事務所決定采用Edgewise公司的微監(jiān)控技術，并且在不增加員工的情況下推出完整的微監(jiān)控措施。其中包括所有公司的虛擬機、服務器、主機、用戶以及軟件可以通過的所有路徑，總共有125 000種不同的保護方式。

他說，“憑借其機器學習組件，人們能夠通過按下按鈕來保護所有內(nèi)容。它將繼續(xù)學習網(wǎng)絡，并將不斷更新適用于微分段的政策。它不再需要人力資源（這是一個巨大的負擔），會大大減少工作人員的時間和精力。”

混合云使分段更加困難

與此同時，保護網(wǎng)絡的挑戰(zhàn)也在不斷發(fā)展。IT服務管理商InterVision Systems公司的安全專業(yè)服務主管Derek Brost表示，在混合環(huán)境中分段要復雜得多。如果數(shù)據(jù)中心是混合操作，具有多個基于云計算的本地環(huán)境以及競爭或不兼容的網(wǎng)絡技術，則可能很難以有組織的方式管理網(wǎng)段和訪問控制。

他說，“安全管理人員需要避免只關注網(wǎng)絡，將微分段技術從網(wǎng)絡中分離出來，并將其下載到各個端點系統(tǒng)中是非常有利的?！?/p>

云計算功能將強制重新思考

它不會就此止步。軟件開發(fā)的下一個演進，云計算功能（無服務器功能或lambda功能）將難度提高了一個檔次。云計算功能是在云功能平臺內(nèi)運行的一小段代碼，例如亞馬遜、谷歌或微軟公司提供的功能。沒有虛擬機可以安裝安全工具，甚至沒有容器。

Edgewise公司的Hickman說，“我認為這可能是我看到的最重要的事情，這將迫使從業(yè)人員真正評估他們目前的安全模式和解決方案。”他表示，“Edgewise公司可以在虛擬機或容器上安裝微分段技術。我們只是基礎圖像的一部分，是克隆的，代理人在實例化時就在那里。Edgewise公司的微監(jiān)控技術目前不支持云計算功能。但我們正在實驗室進行研究和開發(fā)。

異常和不良行為

異常檢測是另一種流行的機器學習算法。例如，在網(wǎng)絡流量的情況下，監(jiān)控系統(tǒng)將監(jiān)視數(shù)據(jù)中心的正常操作，并了解每日、周或月的情況。一旦訓練，就會尋找不符合基線的新行為。

例如，如果市場營銷部門的用戶突然開始從位于俄羅斯的計算機訪問金融數(shù)據(jù)庫，這可能表明某些帳戶已被盜用。傳統(tǒng)的方法是尋找已知不良行為、已知惡意軟件或試圖訪問已知與黑客有關聯(lián)的站點的特定實例。

安全廠商Signal Sciences公司聯(lián)合創(chuàng)始人兼CSO Zane Lackey說，“基于簽名的系統(tǒng)尋找一個特定的東西，如果他們看到它，就會標記或阻止它。當網(wǎng)絡、基礎設施和應用程序沒有那么大的變化時，是可以的。但現(xiàn)在向首席信息安全官或首席技術官詢問他們的運營環(huán)境時，他們都表示正在以驚人的速度變化。”

他說，“這需要技術的多代變革，從基于簽名的模型轉變?yōu)樾袨槟Ｐ?。這是必須發(fā)生的實際轉變。”

然而，他警告企業(yè)不要采用一些基于人工智能的方法，因為應用程序的變化可能比人工智能模型的訓練速度要快。他說，“需要了解它是否真的解決了人們所看到的挑戰(zhàn)?！?/p>

智能訪問管理

Lacke說，“網(wǎng)絡安全是當今運營數(shù)據(jù)中心的基本挑戰(zhàn)。為了實現(xiàn)這一目標，可信網(wǎng)絡的概念正在被零信任模型所取代。人們不再因為信任網(wǎng)絡就認為它是理所當然的。”

這意味著對設備和應用程序的訪問需要進行嚴格控制，每個新連接都需要新的身份驗證步驟。對于傳統(tǒng)的訪問管理平臺來說，這是一項艱巨的任務。

Lackey說，“如何限制對單個服務實際需要的訪問？與全球2 000強的首席信息安全官進行的談話中，這都是最熱門的話題之一?！?/p>