2017年,惠普企业(Hewlett Packard Enterprise)的Aruba网络部门宣布了全面的网络安全解决方案Aruba 360 Secure Fabric。 随着无线设备和云服务的出现,该解决方案可以在不断变化的安全范围内保护企业网络360度免受来自网络内部和外部的威胁。
该解决方案是基于几个关键组件构建的。 首先,它是一个安全可靠的基础架构。 从一开始就就最大安全性设计了Aruba网络设备。 考虑到深度数据包检查(DPI)功能,现代控制器可以提供高速(最高100 Gbit / s)的网络流量处理。 与此相关的是专用协议高级监视(AMON)的出现,该协议旨在在WLAN控制器和控制系统之间传输大量多样的信息,并作为安全系统的附加信息源。
Aruba 360工厂的下一个组件是Aruba ClearPass基础架构访问控制系统,它属于软件产品家族,名称为Network Access Control(NAC)。 该产品值得详细考虑,我们计划为其撰写单独的系列文章。 让我们开始研究为什么在现代条件下不可能仅依靠网络安全范围以及对SIEM系统的需求来自何处。
安全边界是基于与不安全网络和DMZ网段接口处的合作伙伴解决方案的深度集成而建立的。 这些设备提供防火墙,传输数据的签名分析,加密流量,加密审核等功能。
攻击者很难克服上述经典的安全系统来保护企业网络的外围,因此他们常常选择不同的攻击方法。 可以通过公司员工的设备在恶意代码引入和分发的基础上进行攻击。 合法用户可能会丢失或不注意其公司设备,无法连接到不安全的公共WiFi网络。 创建攻击起点的另一个常见选项是向用户发送虚假链接或向他发送恶意电子邮件附件,这使您可以随后将恶意代码注入到合法用户的计算机上。 最近,我们越来越多地看到使用IoT设备进行恶意行为的示例,其主要弱点是“默认”设置和具有众所周知漏洞的旧软件(例如,几乎没有人在运行Windows 95或Windows 95的IP摄像机上安装补丁程序) MS DOS)。
有时,组织的员工可能会成为攻击者,并开始出于勒索或商业利益目的收集有价值的公司数据。 去年,诸如WannaCry和Pyetya之类的勒索软件得到了积极传播。 在自我传播的勒索软件出现之前,恶意软件以三种方式传播:通过从站点下载,通过电子邮件或从物理介质(例如恶意USB设备)进行下载。 因此,为了用勒索软件程序感染设备或系统,需要一定程度的人员参与。
攻击者已学会使用社交工程技术,将来这些技能只会有所提高。 分析师认为,如果一个组织仅依靠技术来解决安全漏洞,则只能解决26%的问题。 如果组织仅使用策略来解决安全问题,则将仅消除10%的问题; 如果他们仅使用用户培训-则只有4%。 因此,有必要从总体上控制安全性的所有三个方面。 此外,还严重缺乏合格的IT人员,他们无法尽快处理有关网络事件的信息,并对安全状态做出明确正确的判断。
在这种情况下,可以抢救所谓的SIEM(安全信息和事件管理)系统,该系统旨在收集各种信息安全事件,并帮助网络安全中心(SOC)分析事件,生成报告。 但事实证明,由于人类信息处理的复杂性和大量误报,即使是他们也无法提供全面的信息。 根据针对收入低于1亿美元的小公司的
分析报告 ,对事件的调查大约需要10分钟。 在雇员人数从1,001到5,000的公司中,在85位受访者中的26家公司中,调查事件的时间可能会花费20分钟到一个小时。 从这些统计数据得出的主要结论可能是,如果每个分析师花费大量的时间调查安全事件,并且可能有10个或更多此类事件,那么调查安全事件可能会耗尽所有可用的人力资源。
根据同一份报告,SIEM系统每分钟最多可生成10,000个事件,其中包括错误警报,有时还需要立即进行人员分析。 在SIEM系统中,将信号与噪声分开并不是一个空洞的词。 在这种情况下,具有人工智能的系统可能需要安全部门的帮助。 待续!