原子化网络如何改变企业保护

原创 何威风 祺印说信安

我们的网络已经变得原子化，对于初学者来说，这意味着它们高度分散。不仅仅是在基础设施方面——传统的、本地的、混合的、多云的和边缘的。

2022 年上半年，网络攻击以42%的速度增长，数据泄露的平均成本创下435 万美元的历史新高，其中美国的成本达到 944 万美元的峰值。不幸的是，这不足为奇。企业网络发生了翻天覆地的变化，尤其是在过去几年中，但我们仍继续尝试使用相同的传统方法来保护它们。作为一个行业，我们已经到了拐点。是时候从根本上重新思考问题集和我们解决问题的方法了。

网络是分散的、短暂的、加密的和多样化
的 我们的网络已经变得原子化，对于初学者来说，这意味着它们高度分散。不仅仅是在基础设施方面——传统的、本地的、混合的、多云的和边缘的。每种基础设施的功能、术语和可用数据也是分散的。

云已经大大改变了游戏规则，使今天的网络非常短暂。每个人都是远程的，IP 地址来来去去。我们不再只是谈论动态主机配置协议 (DHCP)。在云中，每次我们重启云实例时，该实例都可以获得一个新的 IP 地址。像规范名称 (CNAME) 这样的约定在幕后为我们做映射。然而，要掌握我们所拥有的、它正在做的以及正在发生的事情是非常困难的，因为今天的事情不一定是昨天的事情，而且团队对这些变化的可见性和理解有限。

随着加密等实践的出现，合规性给安全性增加了很多复杂性。当我们谈论保护敏感数据时，我们谈论的是潜在地加密所有连接和端点，并根据我们的基础设施管理数以千计的证书。因此，原子化网络也是加密的，这不仅难以管理，而且会带来更多的成本和担忧。需要额外的解密能力。我们解密得越多，敏感数据面临风险的可能性就越大。因此，我们需要在不牺牲网络可见性和控制的情况下尽量减少解密。

最后，原子化网络极其多样化。安全团队的诱惑一直是添加一个非常特定于我们正在观察的环境的工具——用于网络、设备、Web 和电子邮件的工具。当我们谈论一个公司网络甚至少数几个网络时，这是可以管理的。但随着新的云环境、运营技术 (OT) 环境和在家工作模式的加入，我们已经达到了一个转折点，本应让我们更加安全并实际上让安全团队的生活更轻松的工具数量越来越多两者都不做。安全运营中心 (SOC)、云运营和网络团队只能观察和做这么多事情，所以我们最终会变得臃肿。事实上，近 60% 的组织受访者表示，他们部署了 30 多种安全工具和技术，但事件数量和严重程度仍在不断上升。

碎片化和差距猖獗

我们尝试通过创建其他工具集（例如 SIEM 和 SOAR 平台）来尝试让不同的团队和工具一起工作，这些工具旨在尝试聚合数据并自动执行分析和操作。但这些工具有其自身的一系列挑战，需要我们向安全堆栈添加更多工具和技术以维持保护。

安全性变得如此复杂，以至于组织不可能雇用足够多的具备适当技能的人员来完成保护其原子化网络所需的一切工作。更重要的是，不断增长的安全堆栈中的每个工具都有自己的目的，每个团队都有自己的重点领域，它们之间没有足够的重叠。用户在多个窗格和多个环境之间移动，使用具有不同功能的工具，这不可避免地留下未被观察或未被有效观察的间隙。攻击者就住在这些空隙中。难怪组织表示，网络弹性没有得到改善的三大原因是无法减少孤岛和地盘问题、分散的 IT 和安全基础设施以及缺乏对所有应用程序和数据资产的可见性。

重新思考和简化企业保护

放弃旧技术和方法的挑战在于，人类天生会抵制变化，因为它具有破坏性。需要新的专业知识、新的流程和新的升级程序。然而，网络原子化更具破坏性，是时候抛弃陈旧的安全方法了。保护原子化网络需要从根本上重新思考。不是“补强”，而是为遗留工具集添加新功能，并希望它能够集成并解决我们的问题。它不能解决问题。这让情况变得更糟。

当我们不再受限于事物过去的样子时，我们就可以根据事物的现状以及它们将如何演变从头开始重新设计问题。我们可以到达我们需要去的地方——一个通用的工具集，一个通用的语言，一个通用的功能集，可以处理当今网络的分散和短暂的性质，不需要解密，实际上可以提供帮助安全团队的工作效率更高。

在我的下一篇专栏文章中，我将仔细研究网络原子化和传统工具所造成的差距，以及如何弥补这些差距。