要确保数量不断增多的远程端点不被黑客利用成为入侵网络的切入点,这对许多IT团队来说是压倒性的任务。过去安全团队的重点保护对象是服务器和基于云的数据库。因此,自愈网络安全系统的概念对许多IT和安全专业人士有很大的吸引力,他们正在寻找方法来减少保护分布式基础设施所需的时间和精力。但我们离自我修复的网络安全系统有多远呢?
在跨端点建立可见性和安全控制时,IT和安全专业人员需要了解每个端点是否对其自身的安全承担部分或全部责任。这与传统的网络安全方法不同,传统网络安全中既定的安全措施适用于整个网络,而不是单个设备和服务器。因此,企业至少应在其整个设备群中部署简单形式的端点安全,如防病毒或反恶意软件软件。许多企业正在提升这些防护措施,如今已经开始利用现代端点安全技术(包括加密、入侵检测和行为阻止元素)来识别和阻止最终用户或入侵者的威胁和危险行为了。
1.自愈网络安全系统定义
然而,人为错误、恶意行为、过时的和不安全的软件通常会阻碍这些安全控制的有效性。因此,ForresterResearch建议通过利用端点设备、关键任务安全控制和生产力应用程序的自我修复功能来采取主动的端点安全方法。根据2021年绝对端点安全风险报告,在没有这些自我修复功能的企业中,四分之一的端点设备在给定时间内都上传了风险警示信息,其中包括关键资产所产生的风险信息。
自我修复网络安全系统的设备或软件组件可以感知系统是否以最佳方式运行,并且无需人工干预即可进行恢复正常运行所需的调整。这可以通过主动监控来实现,以快速测量与标准配置设置的偏差,并修复或重新安装故障组件以将系统恢复到稳定状态。这至少是许多安全供应商承诺的自我修复网络安全系统的自动化能力。不幸的是,现实并不总是与炒作相符。因此,IT和安全团队应在投资自愈技术之前进行尽职调查。
2.当心安全自愈的陷阱
如今,许多安全供应商提供的解决方案可以扫描端点和已安装的软件组件,以查找可能存在的缺陷、软件冲突以及潜在或正在发生的网络攻击的迹象。异常是基于与先前建立的基线或基于行为检测的比较分析来发现的,以触发自动修复操作。显然,在改进帮助台服务、资产管理或安全控制效率方面,这些自我修复功能为IT和安全团队提供了巨大的好处。
然而,自我修复网络安全系统的最终区别在于它们防止相同因素的相对能力水平——例如例如人为错误、缺陷、软件冲突和恶意活动。最后,它们只是另一个软件应用程序。因此,重要的是选择能够在面对敌对外部因素时持续存在解决方案。为了实现这种强化状态,应将自我修复功能嵌入到端点的固件中,使其免受任何有意或无意的操纵或篡改。反过来,每当最终用户启动他们的端点时,自我修复技术应该验证BIOS代码的完整性,以保护计算机免受外部危害,使其不可被删除,因此其性能优于不植根于端点固件的自我修复技术。设备的固件是一个特权区域,需要与设备制造商密切合作才能访问。很少有供应商会拥有这种特权。
3.结论
使每个端点具有弹性对于实施成功的防御策略至关重要。在这种情况下,自我修复网络安全系统代表了重大的安全和IT生产力进步,使企业能够简化当今高度分布式基础设施的管理和保护。然而,并非所有的自我修复网络安全系统都是缺省就提供的,企业应该在做出最终购买决定之前,坚持要求他们选择的供应商在这方面展示持久性的研发与支持能力。