2020年2月17日 星期一

.雲端安全:從入侵防禦系統中學到的經驗

IDS and IPS



来源: 企业网


人工智慧驅動的公有雲端技術的發展,正在改變企業「默認保護」的遊戲。


我最近有機會向一位行業分析師,介紹人工智慧 AI 在解決公有雲安全方面的快速進步。分析人員和我都在探索,入侵防禦系統(IPS)的開始和商業化,並且多年來一直持懷疑態度,僅僅因為安全技術能夠防止威脅或主動攻擊,客戶不一定會處於保護模式。

即便在今天,我也估計 80% 的網站,IPS 是在僅檢測模式下運行的,而且雖然運行的很好,但基於主機 IP 下可能只在 60% 的企業環境中,部署為僅檢測和警報。

在我們的談話中,我們兩個人都出現了一個問題:客戶是否準備開啓保護?或者更具體的說,為什麼客戶現在可以啓用保護件?自從我與分析師進行初步討論以來,我一直在尋找一種更完整的方式,來闡明為什麼我認為 IP S歷史,無法回答為什麼默認情況下,為雲端中營運的企業啓用保護的問題。


無論是否具有下一代或 NG 前綴,IPS 都應以獨立方式運行,有點像防火牆,獨立分析本地流量和數據流,辨識特定事件或攻擊技術,發出警報,以及(如果在預防模式下操作)阻止或終止該流。由於三個嚴重的異議,企業安全團隊通常不願意啓用 IPS 阻止。

1. 預防決策是在 IPS 設備級即時進行的,依賴於在網路中特定的時間,和實體位置檢查流媒體流量。因此,IPS 不是「情景感知」,如果不定期執行專家環境調整,則會導致高水準的誤報率。

2. 在當地針對所檢查的交通流,和數據流進行預防行動,雖然 IPS 可能最適合檢測,企業內該實體位置的特定威脅,但通常不是採取預防措施的最佳位置。

3. IPS 可用的預防方法相當粗糙,從防火牆級別的流量阻塞,到執行會話終止的 TCP 重置,需要粗粒度的響應參數(例如,IP地址、端口號、協議)

在企業安全和威脅可見性方面,公有雲和人工智慧的使用非常簡單,是遊戲改變者。


客戶的核心是為計算、儲存或流量計量和計費客戶,同時具有動態平衡工作負載,和按需彈性擴展的透明功能,提供不同於傳統企業網路,架構中的環境可見性和控制水準。

雖然大多數公有雲提供商的內置安全產品,與其企業網路同類產品具有相同的術語,但他們幾乎沒有相似之處,因為他們專門針對該提供商的雲端建構,並受益於獨特的環境可見性,共享日誌記錄和警報處理,跨產品分析,內置自動化和編排API,以及越來越先進的 AI 功能。

公有雲客戶可以立即看到改進中的局部部分,但是為什麼安全團隊會像 IPS 中一樣啓用,並允許雲端中的「保護」?我相信技術答案在於以下幾項的組合:

1. 保護決策自動應用於雲端環境中,最有效和最自然的位置,而不僅僅是主要檢測可能發生的位置。這樣可以在阻塞是提高精度。

2. 緩解步驟不必是嚴苛的全有或者全無控制,而是可以同時分布在多個安全產品,和雲端應用程序之間。這大大減少了可能產生的負面業務影響,和不良用戶體驗。例如,在處理從共享和受信任的遠端設備,發起的可以用戶時間時,結合了條件訪問控制和網路流量限制。

3. 跨產品的可見性和威脅遙相結合,允許智慧系統辨識新的威脅,並在較低的閾值,和如何在獨立的單源保護產品中,獲得更高的信心來做出決策。

4. 隨著傳統簽名和基於統計的方法,被高精度監督學習模型,和行為異常能力所取代,威脅監測精度,異常辨識和標記,以及整體檢測置信水準都有所提高。


雖然雲端安全產品的技術能力,增強了其對保護能力的信心,但我認為兩個更重要的動態,在於雲端中推動「默認保護」比內部部署更快。

首先,攻擊的數量,複雜性和快速性的升級,迫使組織比以往更快,更自動的響應威脅;之後更容易預訂啓用保護,並調整業務異常。

其次,也許最重要的是,大多數遷移到公有雲的企業,沒有內部資訊安全專業知識。簡而言之,安全警報是不可行的,並且會分散他們的注意力。他們需要一個安全平台,來營運他們的業務,並希望雲端提供商,能夠全面保護他們。


沒有留言:

張貼留言