.jpg?sfvrsn=7cd7858b_2 "WUG-visibility-1900x600 (1)")
就網路安全而言,「不知道就不會造成傷害」這句俗語簡直大錯特錯。您所不知道的才是對您造成傷害。這就是為什麼完整的網路可視性對保護企業資產及避免合規性罰款與調查至關重要的原因。
您知道自去年 COVID-19 疫情開始以來,向 FBI 報告的網路犯罪數量已經增加了300%嗎?其中許多攻擊都是直接針對網路,Cisco 預測,到了2023年,將會有1,540萬次的 DDoS 攻擊。事實上,即使是非針對網路的攻擊,也必須穿過您的網路。
合規性罰款可能是您財務麻煩中最微不足道的一項,因為 Verizon 計算發現,去年的資料洩漏,平均造成386萬美元的損失。Accenture 發現,企業領導者瞭解這些問題,且其中有68%認為網路風險確實在增加。
這就是為什麼您一定要知道網路組成的原因,包含連接、網段、裝置,甚至是應用程式與虛擬機器。這些元件都會因為日漸複雜及越來越多的網路犯罪而面臨風險。您可在 Progress 網路研討會-「看不到就無法保護」中學習所有您需要知道的相關知識。
Security Boulevard 認為:「可視性的挑戰又回到了這一點,您無法保護您監看不到的東西。不論是在本地還是在雲端,擁有整個網路環境全方位的可視性,都是建立與維持強健的安全及合規性態度的基礎。深度可視性可以顯示出會因為安全規則變更或計畫性的伺服器與裝置停機而受影響的業務應用程式及潛在的流量。這在瞭解伺服器遷移、除役、對問題進行故障排除時對應用程式的影響,以及避免代價高昂的意外停機等方面,都至關重要。」
網路監控當然是IT安全專業方法的一部分,它是深度防禦策略中的一項要素,也是必不可少的要素。正如同反惡意程式及防火牆應涵蓋您所有的資產一樣,網路監控也應該瞭解並追蹤每個網路資源,並在新資源上線時知曉。
利用網路監控顯露一切
讓我們談談網路監控如何為您的IT基礎架構增加關鍵的保護層。一個好的網路監控解決方案能找出可能意味著漏洞的配置變更,而網路日誌則能準確顯示實際情況以及需要解決之處。漏洞能更快速地被找到或封鎖,減少合規性風險暴露,並減輕或消除經濟上的損失。
這些漏洞不光是會造成麻煩。去年上半年,因漏洞而暴露的紀錄就高達360億筆,沒錯,就是數百億筆。Verizon 發現,那些注重合規性的公司應該要知道,其中58%的漏洞都涉及個人資料。
網路安全從探索開始
如本篇部落格文章的標題所示,您無法保護您監看不到或不瞭解的網路。這就是為什麼網路監控解決方案要做的第一件事,就是網路探索。此動作能找出所有零碎的部分、定義設定檔,並建立清冊。更好的是還可將探索自動化,在預先選擇的時間執行;此解決方案會發現新的網路元件以及 在您網路上的裝置,並將其加到清冊中。如此一來,新的裝置、連接及網段就不會成為您環境中的新弱點。
建立網路基線可得知何時發生問題
您的網路可視性包含瞭解在正常運作時的網路設置。這就是您的網路基線。
您的基線應該要全面,且包含關鍵性能與安全基準,例如記憶體、CPU、介面及磁碟的使用率統計資料。建立後,即可設定閾值(例如當磁碟接近容量時),並設定警示,以在可能表示有安全問題時示警。舉例來說,過載的裝置可能意味著危險的 DDoS 攻擊,而這需要立即處理。
另一個例子是挖掘加密貨幣,它雖不一定是安全事件,卻可能導致網路堵塞,使其無法使用。而當員工使用您的網路挖掘比特幣或其他加密處理任務時,這種挖掘通常發生在下班時間。CPU 及記憶體的監控是可以發現這些活動的-即使您的商店因故發生關閉-並協助您終結這些情況。
在此情況下,首先便要找出您的 CPU 基線。有些伺服器因為有效率地使用,故能以90%運行,所以應將閾值設得更高。若您的正常 CPU 負載約為50-60%,那就保持如此,並將警示閾值設置為90%。您可以藉由此方式監控所有伺服器、找出可疑的行為,並瞭解裝置能否完成當前任務。
警示
若您未收到問題的警示,那麼世界上所有的探索與基線設置都無關緊要。我們剛剛才談過 CPU 或其他網路元件超過門檻值時的警示。您可以為所有其他項目設定警示,例如性能問題、頻寬超載、異常行為及其他眾多項目。
但警示需要正確設置。首先,您不會希望每件稍微偏離正常的事都發出警示。報告可以追蹤這些事件,當事件上升到臨界程度時,即會變成警示。如果有過多的警示,IT 將會因為瑣碎的事件而分心,而無法始終專注於真正重要的事情。
警示不應群發給使用您網路監控解決方案的每一個人,而是應根據職責決定目標:伺服器警示發送給伺服器團隊,應用程式警示發送給該團隊,而頻寬相關事宜則發送給管理連線的團隊。警示亦可具有不同的嚴重程度。大部分您想要看到卻並非緊急的警示,都可發送至電子郵件或諸如Slack等協作解決方案,而關鍵項目則可發送簡訊,以立即引起注意。
探索及控制配置
您知道嗎?Gartner 指出,80%的漏洞都是因為配置不當或其他類型的管理員錯誤而引起的。
為取得網路的存取權限,攻擊者通常會重新配置服務或主機,並且在重新配置的過程中使其暫時不可用。網路監控可以發現失去服務,並發現惡意的重新配置-拯救了企業的一天。
幸運的是,一個好的監控解決方案可以探索並記錄您的配置,甚至能根據配置變更的嚴重程度發送警示、電子郵件或簡訊。更好的是,您可以設定為依據已定義且經過驗證的政策來進行自動配置,如此一來,您就會知道它是以正確的方式完成配置。如果失去配置或配置有問題,自動備份可以確保永遠不會真正的失去配置,並能輕鬆恢復正確的設定。
配置錯誤通常是來自於偏離已建立的公認規範的新設置。您的配置清冊及自動配置可以解決這些問題。
您還可以設定安全政策,例如啟用密碼加密及確保政策合規。
網路流量分析發現 DDoS、資料外流及暗網使用
許多安全(及性能)問題與頻寬有關,這就是網路流量分析如此重要的原因。透過此功能,您可以分析 NetFlow、NSEL、S-Flow、J-Flow及 IPFIX,並取得哪些資源、部門、團隊甚至個人正在使用頻寬等全面且詳盡的資訊。此分析可找出異常行為,例如殭屍網路攻擊及網路接管、網路犯罪分子引起的資料外流、DDoS 攻擊、上面討論過的資料挖掘,甚至是員工觀看 Netflix 或 Amazon Prime 的行為。
若您有良好的基線,則監控即時頻寬使用的功能就會顯示出不正常的情況。此功能可報告歷史頻寬趨勢,讓您知道何時需要升級網路。
對於安全鑑識、發現未經授權的應用程式、追蹤特定來源與目的地組合之間的流量以及發現流向未監控連接埠的高流量等方面而言,網路流量分析也相當關鍵。
有了 WhatsUp Gold,您就能在使用者存取暗網時向管理員示警;人們會使用 Tor 進入暗網,Tor 是暗網訪問者用以路過以保持匿名的志願者中繼網路。IT 可監控所有已知的 Tor 連接埠的網路來源,並找到或封鎖對暗網的存取。
其他重要的 WhatsUp Gold 網路監控功能
您可能已經猜到了,本部落格中所討論的所有網路監控功能都可在 Progress Software 的 WhatsUp Gold 中找到。以下是您可能會感興趣的其他三個。
NetFlow-利用 NetFlow 的能力,IT可輕鬆並自動地分析來自思科(Cisco)裝置的資料,藉以分析網路行為、找到安全問題,並針對網路及安全問題設置即時示警。
日誌管理-管理日誌對安全而言至關重要、對遵守合規性至關重要、對顯示真實發生的情況以及在發生安全事件時採取的步驟也至關重要。
合規性稽核排程-如果您的網路監控解決方案也有能力定期以 SOX、HIPAA、PCI 及 FISMA 要求的方式執行稽核呢?WhatsUp Gold 可以!
瞭解與網路可視性有關的一切
放輕鬆,讓 Progress 專家教您所有需要知道的、關於網路可視性的一切。
WhatsUp Gold 2021 還有許多其他功能,但這裡篇幅有限。您可以在 WhatsUp Gold 2021 發布說明中取得所有詳細資訊。您也可在我們的最新消息頁面中瞭解更多 WhatsUp Gold 的新功能,或免費試用親身體驗。