■ 山東 劉勝軍 趙長林

編者按： 企業(yè)業(yè)務(wù)越來越細(xì)分，如果網(wǎng)絡(luò)安全防護(hù)不能快速隨需而變，就無法應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)威脅，這需要企業(yè)對安全策略和基礎(chǔ)架構(gòu)進(jìn)行一些根本性變化。

雖然企業(yè)網(wǎng)絡(luò)繼續(xù)擴(kuò)展和演變，但安全團(tuán)隊(duì)的目標(biāo)并未改變。基礎(chǔ)設(shè)施需要滿足業(yè)務(wù)目標(biāo)，同時還要滿足法規(guī)和合規(guī)標(biāo)準(zhǔn)，以及保護(hù)關(guān)鍵數(shù)據(jù)和資源。不幸的是，對當(dāng)今的很多企業(yè)而言，這些目標(biāo)并沒有得到滿足，因?yàn)楦嗟臅r間被用于管理安全的基礎(chǔ)架構(gòu)而不是使業(yè)務(wù)能夠正常運(yùn)轉(zhuǎn)上。

其中困難之一是網(wǎng)絡(luò)正在經(jīng)歷快速變革，卻沒有一套連貫的安全戰(zhàn)略。由此將導(dǎo)致安全團(tuán)隊(duì)負(fù)擔(dān)過重，安全設(shè)施不斷擴(kuò)張，并且出現(xiàn)可見性和控制方面的問題。如果企業(yè)沒有一個總體計(jì)劃，安全團(tuán)隊(duì)將被迫被動地快速認(rèn)識和部署安全解決方案。

如今企業(yè)可能擁有來自幾十個安全廠商的解決方案，并需配置管理和升級這些方案。這種不和諧的安全架構(gòu)給安全團(tuán)隊(duì)帶來巨大挑戰(zhàn)，其中最嚴(yán)重的困難是為檢測和響應(yīng)威脅而從不同的高度分散的解決方案中收集并關(guān)聯(lián)這些安全數(shù)據(jù)。

另外還有三個方面會增加問題的復(fù)雜性：首先，物理和虛擬新設(shè)備及其相關(guān)數(shù)據(jù)正在以無法預(yù)料的速率增加到網(wǎng)絡(luò)中；其次，應(yīng)用程序和工作流程正在以驚人的速度被添加、更新和替換；第三，這些應(yīng)用程序和工作流程需要能夠在不同的網(wǎng)絡(luò)環(huán)境（包括遠(yuǎn)程設(shè)備、分支機(jī)構(gòu)、多云生態(tài)系統(tǒng)）中自由遷移。

收回控制權(quán)

解決這些困難遠(yuǎn)遠(yuǎn)超過了很多安全團(tuán)隊(duì)的能力。所以，雖然安全花費(fèi)巨大，但網(wǎng)絡(luò)攻擊帶來的損失仍超過企業(yè)在安全上投入的數(shù)倍。

安全團(tuán)隊(duì)在2019年可以做的保護(hù)企業(yè)的最重要事情是：收回安全環(huán)境的控制權(quán)。要開始這個過程，需要做到三個方面。

1．在第一時間參與業(yè)務(wù)運(yùn)營計(jì)劃。及早加入可以在保護(hù)新資產(chǎn)、確保合規(guī)性方面節(jié)省時間和金錢，并可以高效地建立作為更大安全戰(zhàn)略完整組成部分的安全性。

2.用可集成的能夠查看、共享、關(guān)聯(lián)威脅情報(bào)的工具替換孤立的安全設(shè)備。這些工具還需要能夠持續(xù)地、無縫地跟蹤工作流、應(yīng)用程序以及在不同網(wǎng)絡(luò)環(huán)境之間移動的數(shù)據(jù)，并保障其安全。

3.開發(fā)一套使用開放性API和標(biāo)準(zhǔn)、集中化SIEM的管理策略。如果有可能，還要采用一種通用的操作系統(tǒng)，用以在多種安全解決方案之間建立和維護(hù)集中化的策略發(fā)布和執(zhí)行。

安全需要追蹤數(shù)據(jù)

在具備基礎(chǔ)條件后，企業(yè)即可通過自動化來優(yōu)化安全性，其中包括兩個關(guān)鍵功能。

1.條件訪問。對于為雇員和客戶提供高性能應(yīng)用、處理信用卡交易、管理個人身份信息和管理敏感數(shù)據(jù)的企業(yè)來說，要求一種更具有創(chuàng)新性的方法，從而在基礎(chǔ)架構(gòu)的安全性上執(zhí)行強(qiáng)健的訪問控制。

此外，添加到網(wǎng)絡(luò)中的任何設(shè)備都需要評估是否遵循安全策略，然后結(jié)合這個設(shè)備的具體環(huán)境和使用情況，根據(jù)特定策略來決定是否允許連接到網(wǎng)絡(luò)。具體依據(jù)包括它屬于哪類設(shè)備、要求哪些資源來進(jìn)行訪問和支持，如果該設(shè)備有用戶，用戶擁有哪些特權(quán)。然后需要用策略來為此設(shè)備加上標(biāo)簽，從而使整個安全生態(tài)系統(tǒng)都可以跟蹤和強(qiáng)化這條策略。

2.動態(tài)細(xì)分。企業(yè)還需要能夠動態(tài)地將某些數(shù)據(jù)和應(yīng)用程序與其余資產(chǎn)進(jìn)行分組和隔離，以保持符合各種監(jiān)管標(biāo)準(zhǔn)。同樣的要求也適用于應(yīng)用程序、工作流和交易。細(xì)分是解決問題之道。

內(nèi)部的安全細(xì)分可以將資源限制到一個物理位置，如一幢特定的大樓或一個實(shí)驗(yàn)室；還可以將這些資源分配給一個特定組或功能，如銷售組、工程組或臨時客戶的訪問。這種細(xì)分還可以根據(jù)設(shè)備的類型來實(shí)施，如數(shù)字?jǐn)z像機(jī)、物聯(lián)網(wǎng)設(shè)備或庫存的標(biāo)簽等。

除了設(shè)備之外，細(xì)分還需要包括應(yīng)用程序、工作流和其他業(yè)務(wù)。其中包括能夠?qū)⑦@些數(shù)據(jù)與未獲得授權(quán)訪問的數(shù)據(jù)隔離開，或者包括能夠自動確保與特定用戶、服務(wù)器或數(shù)據(jù)中心資源有關(guān)聯(lián)的數(shù)據(jù)的安全。

最后，這種細(xì)分還需要能夠持續(xù)地保障數(shù)據(jù)安全并能夠隔離數(shù)據(jù)，而不管數(shù)據(jù)需要流動到哪里。即使數(shù)據(jù)流的路徑是在物理地域的混合網(wǎng)絡(luò)環(huán)境和公有云、私有云的網(wǎng)絡(luò)及服務(wù)之間，敏感的工作流也需要在數(shù)據(jù)流動的整個路徑上加以保護(hù)。

基于目的的細(xì)分

但是要使細(xì)分在當(dāng)今企業(yè)環(huán)境中有效運(yùn)行，還需要能夠?qū)I(yè)務(wù)目標(biāo)自動轉(zhuǎn)化為安全需求，然后將這些需求映射為特定的策略。這就要求將機(jī)器學(xué)習(xí)增加到細(xì)分工具中，使得安全管理員可以預(yù)定義策略，而且高級細(xì)分軟件還可以基于其能力來實(shí)施這些策略，從而實(shí)現(xiàn)解析工作流、應(yīng)用程序和已部署設(shè)備的業(yè)務(wù)目標(biāo)。

為此，基于目的的細(xì)分需要能執(zhí)行四大功能：首先，這種細(xì)分能夠?qū)⒏呒壍臉I(yè)務(wù)語言轉(zhuǎn)換為細(xì)分策略；其次，需要在網(wǎng)絡(luò)中自動實(shí)施和強(qiáng)化策略；第三，需要持續(xù)地監(jiān)視數(shù)據(jù)的狀態(tài)或被細(xì)分設(shè)備的狀態(tài)；第四，還需要利用機(jī)器學(xué)習(xí)來選擇最佳方法來實(shí)施，并持續(xù)地監(jiān)視，而且還要能夠在發(fā)生任何變化后，自動采取糾正措施。

利用高級安全功能實(shí)現(xiàn)數(shù)字化的業(yè)務(wù)目標(biāo)

保護(hù)當(dāng)今高度動態(tài)和靈活的網(wǎng)絡(luò)不僅僅需要用高速度去實(shí)施變更?；谀康牡墓ぞ撸ㄈ缂?xì)分）的新進(jìn)展使企業(yè)能夠創(chuàng)建業(yè)務(wù)目標(biāo)，這些目標(biāo)可以自動轉(zhuǎn)換為安全策略，而這些策略不僅可以無縫地跨越網(wǎng)絡(luò)，還可以自動適應(yīng)變化。

如果企業(yè)不對安全策略和基礎(chǔ)架構(gòu)進(jìn)行一些根本性變化，上述目標(biāo)就無法實(shí)現(xiàn)。如果企業(yè)安全框架不能適應(yīng)網(wǎng)絡(luò)變化，共享和關(guān)聯(lián)威脅情報(bào)，并以一種統(tǒng)一的系統(tǒng)來應(yīng)對，企業(yè)就無法充分利用新的數(shù)字經(jīng)濟(jì)創(chuàng)造機(jī)會。