以資料為中心的網路安全

傳統的網路安全策略不再滿足企業愈趨複雜的IT環境需求

再談邊界安全的消失

技術創新改變了網路自身的本質。員工幹活不再侷限於自己的工作站，或者連線到公司網路的膝上型電腦。平板電腦、智慧手機等移動裝置成為了更為常見的東西，讓員工得以遠端辦公，這還意味著不用改變辦公地點就能聘用到頂級的人才。

今天的網路邊界難以定義

這些新技術為通訊和資料共享提供了新應用和方法，通過各種不同的聯網路徑，比如無線或蜂窩/行動通訊、藍芽等。但是，這也加劇了安全問題，因為不僅引入了新技術(及其固有新漏洞)，更重要的是，這些新技術削減了內部網路的概念，幾乎讓內部網路這種東西就此消失了——至少不再是其經典形式上的內部網路了。

當幾乎不存在網路邊界的時候，何談網路安全？當越來越多的使用者可隨時通過各種方法接入公司網路的時候，你怎麼跟蹤授權和非授權使用者？換句話說，你把邊界安全防護措施放哪兒去？

於是，當今企業安全面對的主要問題，就是：網路安全工具、服務和解決方案的重心一直都在該網路安全“堡壘”概念上，而這又轉換成對保護網路(及硬體)中所有元件的安全產品的重視，以及對業務(及軟體)執行相關應用和程式的相對放鬆。

以資料為中心

現代網路接入方式複雜度的增加，需要傳統(已有)網路安全所達不到的更戰略性、更全面的視角。真正需求的，是一種完全不同的，更以資料為中心的哲學方法。那就是，重點應首先放在你有哪些有價值資料和資訊，及其對公司的價值所在，而其他強調技術的策略應圍繞保護該有價值資料來發展。

這種以資料為中心的網路環境安全方法，從對自身擁有資料的戰略性理解，和認清這些資料對自身運營的巨大價值開始。這一步，通常被稱為資料分類。一旦資料被識別並分類，你就必須評估資料在網路中的發現點，都有誰訪問或“消費”這些資料、分別是出於何種目的，資料從產生到消亡過程中在網路裡巡遊的全部蹤跡，以及資料到達生命週期末尾時是怎麼處理的。該過程一般被叫做資料流或業務流分析。

只要理解了自己試圖保護什麼，就可以進行資料流分析，以理解資料儲存或處理位置，以及誰能或誰應該訪問這些資料。然後，就可以基於對風險標的的有效理解，應用正確的安全控制措施了。這個過程被恰如其分地稱為風險管理模型，可用下面的簡單公式表示。

基於風險的安全模型

該簡單公式中的元素有：

風險：不願意看到其發生的壞東西，比如資料遺失或被盜，或落入壞人之手遭到篡改；漏洞：薄弱環節，往往是程式設計缺陷、編碼錯誤、不當配置、某些特性——你係統或應用中存在的任何可被攻擊者利用來做壞事的東西；威脅：想對你造成傷害的壞人和攻擊者。攻擊者可訪問或利用你網路的方式，也常被認為是一種威脅或威脅載體。威脅基本上就是攻擊者做事的方法——遠端侵入、物理破壞、網路釣魚、病毒，或者惡意軟體；對策：以安全之名所做的所有事。包括VPN或防火牆之類訪問控制措施的部署、入侵檢測系統、警報和監視解決方案、檔案完整性監測、白名單解決方案，以及終端防護；估值：想保護的東西的價值，還有安全工作的成本。
風險管理模型的目標是要減小風險。風險基本上就是錢——你想保護的資料值多少錢，或者說，資料丟失或替換會花費多少錢？減小風險的方法，就是減少環境中漏洞，識別並封鎖或威懾威脅，以及實現安全對策以降低漏洞或威脅所留影響的組合。

你可以在今天的安全行業中看到基於風險的安全模型的各元素，但總體目標或者說戰略目標，卻往往不見被討論。新的(其實真的很老了)戰略，是從知道你想保護什麼開始，也就是，要有個目標。一旦目標設立，你就能組合風險模型中所有元素髮展出一套策略來，但要記得用對你的公司有意義，能最終實現安全目標的方式來做。

這是個持續的過程，你必須不斷考慮技術、人員、公司使命和威脅態勢的改變。持續運作的過程，需要被寫下來，被遵循，並定期修訂以反映運營的最新變化。這種安全方法可被稱為安全生命週期，擁有以下特性：

從知道要保護什麼東西開始安全需要系統性方法（評估當前位置、記錄想去往何方、實現安全架構）策略即戰略架構就是策略得以實施的連貫整合戰術集沒有策略的安全只不過是技術
完全擁抱該安全方法，是實現企業安全最划算的方式。有可能你已經做到其中某些事項了，並對適合自己公司的風險安全模型有了一定了解。大多數公司在採納該安全戰略上都忽略掉的一點，是對要保護的資料、資料在現有網路中巡遊的路徑和處理及儲存資料所涉及系統缺乏可靠的瞭解。必要的第一步(或者補救措施)，就是發現自己網路上到底在發生什麼。

發現是關鍵

瞭解自己網路的延伸，還有哪些系統連入或試圖連入你的網路，是最緊要的事。該發現過程必須時時刻刻都在進行。技術發展需要技術性解決方案，但若以整體資料安全戰略實現，而不是提供“堡壘式”企業網路防護，會有效得多。

該發現至少需要包含以下幾項：

誰：

使用者管理員開發者承包商來賓客戶
什麼：

工作站膝上型電腦應用程式流氓裝置物聯網(IoT)BYOD(手機、平板)
哪裡：

有線網路(WAN/LAN)虛擬網路(vLAN)無線網路蜂窩網路藍芽近場通訊(NFC)、無線射頻識別(RFID)等等
可以檢測已經接入網路，或嘗試接入公司網路的使用者和裝置的檢測能力，是一直都需要的。

如何做到發現這一步

發現自己網路上有什麼，是保護公司網路、資料和關鍵業務系統最基本的步驟。然而，大多數安全團隊，都對處理好應該出現在網路上的授權裝置，和不應該出現在網路上的非授權裝置，感到頭痛無比。有限的安全人員、分散式網路，還有多種多樣的網路基礎設施，還僅僅是安全團隊面對的一小部分挑戰。

市面上有大量工具和“解決方案”極力想要幫你達成安全目標。他們通常都貼著“持續監視”、“網路發現”的標籤。但在往解決方案投入大筆金錢之前，請確保自己已經理解並記錄下了該工具應幫你完成的目標和過程。這才是關鍵所在。

只要對自己網路上有什麼成竹在胸，便可持續監測這些裝置，查詢安全漏洞、不安全配置、與非受信任網路或裝置的連線，以及基於裝置的攻擊。

結語

堡壘式或基於邊界的網路安全概念，到了今天已經基本過時了。有效安全需要你時刻謹記自己的目標或戰略，也就是，要保護作為自己公司生命線的資訊和資料。資料保護，需要對資料存放位置、訪問物件和傳輸及消費地點有所瞭解。一旦資料安全戰略確立，必須在系統級或資產級層次上弄清自己公司環境的本質。想要支援安全週期的持續性本質，就必須在延續的基礎上做到上述內容。

本文轉自d1net（轉載）