智能(néng)和自動化已經(jīng)在創建和管理智能(néng)實時(shí)的微分段策略，分析網絡流量以發(fā)現可疑活動或異常數據移動，以及管理最小特權和零信任環境中訪問方面(miàn)發(fā)揮重要作用。

總部位于波士頓的律師事(shì)務所Goulston&Storrs轉向(xiàng)采用智能(néng)網絡安全解決方案來保護其數據中心，因爲專注于保護組織周邊環境的标準解決方案存在緻命缺陷。

該公司首席信息官John Arsneault說(shuō)，“傳統方法缺乏的是在事(shì)件發(fā)生後(hòu)知道(dào)發(fā)生了什麼(me)，很多公司可能(néng)在幾個月之後(hòu)都(dōu)不知道(dào)受到了攻擊，攻擊者嘗試在其網絡上攻擊主機和應用程序，并獲取重要的數據。”

他說(shuō)，“新的網絡安全技術(例如微監控技術)提供了第二道(dào)防線。如果網絡攻擊者确實掌握了用戶憑據，或者利用了企業的IT處理遺漏的漏洞，那麼(me)這(zhè)些公司的經(jīng)營將(jiāng)受到很大的影響。”

微分段的問題在于需要花費企業大量的時(shí)間和精力。

他說(shuō)：“人們沒(méi)有跟上網絡安全發(fā)展的步伐，并通常可能(néng)更開(kāi)放脆弱。即使網絡工程師或安全工程師緻力于跟上其發(fā)展和變化，也是非常困難的。”

Goulston&Storrs律師事(shì)務所希望獲得更好(hǎo)的網絡安全性，但不希望增加更多工作人員。

瞻博網絡公司安全戰略總監Laurence Pitt說(shuō)，“更多的數據、更多的流量、更多的工作負載，以及更多的員工來管理網絡IT，這(zhè)已經(jīng)成(chéng)爲安全行業的一個常見呼聲。”

他補充說(shuō)，這(zhè)些并不是新挑戰，由于變化速度不斷加快和複雜性增加，安全性也在下降。

他說(shuō)，“通過(guò)將(jiāng)威脅情報和自動化嵌入到每個路由器、交換機、網關和無線接入點，網絡需要成(chéng)爲安全人員的第一道(dào)防線。”

網絡分段

網絡分段的想法是網絡的不同部分之間存在障礙，這(zhè)種(zhǒng)障礙就(jiù)像物理上的“氣隙”，不允許流量進(jìn)入。或者它們可以是虛拟的，是以防火牆、加密隧道(dào)和類似技術的形式。

在快速變化的現代化數據中心環境中，無需人工智能(néng)工具即可有效管理微分段。

Edgewise Networks公司工程副總裁Tom Hickman說(shuō)：“我們過(guò)去通常一年發(fā)布一個版本，我們在今年6月的7天内發(fā)布了9個版本，每個活動都(dōu)是網絡技術的重大變化。如今，企業必須擁有能(néng)夠響應動态變化的技術，這(zhè)是自我配置的。”

智能(néng)解決方案在兩(liǎng)個方面(miàn)解決了這(zhè)些問題。首先，算法用于映射網絡中的流量，并提取網絡行爲的通用規則供分析人員查看。例如，某些類型的應用程序與某些類型的後(hòu)端數據庫進(jìn)行通信。

用于生成(chéng)地圖的技術通常是聚類分析的一些變體，聚類分析是一種(zhǒng)識别類似項目組的機器學(xué)習技術。類似的算法用于電子商務推薦引擎和自動識别客戶群的營銷工具中。然後(hòu)，此映射用于生成(chéng)虛拟網段，以便以與數據中心風險偏好(hǎo)相匹配的方式平衡可用性和安全性。

如果出現攻擊網絡分段但符合預先批準的策略的新流量，則會(huì)自動重新分段。如果新流量不在允許的範圍内，則進(jìn)行标記，可以供網絡管理員或安全分析人員進(jìn)一步關注。

Arsnault表示，Goulston&Storrs律師事(shì)務所決定采用Edgewise公司的微監控技術，并且能(néng)夠在不增加員工的情況下推出完整的微監控措施。其中包括所有公司的虛拟機、服務器、主機、用戶，以及軟件可以通過(guò)的所有路徑——總共有125000種(zhǒng)不同的保護方式。

他說(shuō)，“憑借其機器學(xué)習組件，人們能(néng)夠通過(guò)按下按鈕來保護所有内容。它將(jiāng)繼續學(xué)習網絡，并將(jiāng)不斷更新适用于微分段的政策。它不再需要人力資源，這(zhè)是一個巨大的負擔，并且會(huì)大大減少工作人員的時(shí)間和精力。”

混合雲使分段更加困難

與此同時(shí)，保護網絡的挑戰也在不斷發(fā)展。IT服務管理商InterVision Systems公司的安全專業服務主管Derek Brost表示，在混合環境中分段要複雜得多。如果數據中心是混合操作，具有多個基于雲計算的本地環境以及競争(或不兼容)的網絡技術，則可能(néng)難以以有組織的方式管理網段和訪問控制。

他說(shuō)，“安全管理人員可能(néng)需要避免隻關注網絡。將(jiāng)微分段技術從網絡中分離出來，并將(jiāng)其下載到各個端點系統中是非常有利的。”

雲計算功能(néng)將(jiāng)強制重新思考

它不會(huì)就(jiù)此止步。軟件開(kāi)發(fā)的下一個演進(jìn)，雲計算功能(néng)(也稱爲無服務器功能(néng)，或lambda功能(néng))將(jiāng)難度提高了一個檔次。

雲計算功能(néng)是在雲功能(néng)平台内運行的一小段代碼，例如亞馬遜、谷歌或微軟公司提供的功能(néng)。沒(méi)有虛拟機可以安裝安全工具，甚至沒(méi)有容器。

Edgewise公司的Hickman說(shuō)，“我認爲這(zhè)可能(néng)是我看到的最重要的事(shì)情，這(zhè)將(jiāng)迫使從業人員真正評估他們目前的安全模式和解決方案。”

他表示，“Edgewise公司可以在虛拟機或容器上安裝其微分段技術。我們隻是基礎圖像的一部分，是克隆的，代理人在實例化時(shí)就(jiù)在那裡(lǐ)。”

他說(shuō)，“Edgewise公司的微監控技術目前不支持雲計算功能(néng)。但我們正在實驗室進(jìn)行研究和開(kāi)發(fā)。”

異常和不良行爲

異常檢測是另一種(zhǒng)流行的機器學(xué)習算法。例如，在網絡流量的情況下，監控系統將(jiāng)監視數據中心的正常操作，并了解每日、周或月的情況。一旦訓練，它就(jiù)會(huì)尋找不符合基線的新行爲。

例如，如果市場營銷部門的用戶突然開(kāi)始從位于俄羅斯的計算機訪問金融數據庫，這(zhè)可能(néng)表明某些帳戶已被(bèi)盜用。傳統的方法是尋找已知不良行爲、已知惡意軟件或試圖訪問已知與黑客有關聯的站點的特定實例。

安全廠商Signal Sciences公司聯合創始人兼CSO Zane Lackey說(shuō)，“基于簽名的系統尋找一個特定的東西，如果他們看到它，就(jiù)會(huì)标記它或阻止它。當網絡、基礎設施和應用程序沒(méi)有那麼(me)大的變化時(shí)，這(zhè)是可以的。但如果現在向(xiàng)首席信息安全官或首席技術官詢問他們的運營環境時(shí)，他們都(dōu)將(jiāng)表示正在以驚人的速度變化。”

他說(shuō)，“這(zhè)需要技術的多代的變革，從基于簽名的模型轉變爲行爲模型。這(zhè)是必須發(fā)生的實際轉變。”

然而，他警告企業不要采用一些基于人工智能(néng)的方法，因爲應用程序的變化可能(néng)比人工智能(néng)模型的訓練速度要快。

他說(shuō)，“需要了解它是否真的解決了人們所看到的挑戰。”

智能(néng)訪問管理

Lacke說(shuō)，“網絡安全是當今運營數據中心的人的基本挑戰。爲了實現這(zhè)一目标，可信網絡的概念正在被(bèi)零信任模型所取代。人們不再僅僅因爲信任在網絡上就(jiù)認爲它是理所當然的。”

這(zhè)意味著(zhe)對(duì)設備和應用程序的訪問需要非常有限且嚴格控制，每個新連接都(dōu)需要新的身份驗證步驟。對(duì)于傳統的訪問管理平台來說(shuō)，這(zhè)是一項艱巨的任務。

Lackey 說(shuō)，“如何限制對(duì)單個服務實際需要的訪問?在我與全球2000強的首席信息安全官進(jìn)行的談話中，這(zhè)都(dōu)是所談論最熱門的話題之一。”