一旦网络被妥协,一个或多个设备被恶意软件感染,可能需要数周甚至数月才能发现并有效地堵塞违规行为。去年,在发现违规行为之前,该组织被妥协的天数为146。近五个月。
感染和反应之间如此巨大的气隙是危险的,因为它为攻击者提供了一个不间断的机会范围,以剥夺有价值的公司数据和知识产权。更糟糕的是,这种违规行为越来越多地在公开场合发挥,导致市场份额丧失,并且通常会解雇高级管理人员。攻击者将移动设备视为访问敏感企业数据的最简单途径。物联网(IoT)的兴起意味着,更多的设备以及许多不同类型的设备都连接到企业网络。而且,物联网设备经常被设计为优先事项。
从手册转变为自动
当确实发生违规时,每一秒都计算。但是现实是,许多安全管理员不知所措。他们花费大量时间调查威胁,看看是否构成了真正的危险。他们必须涉足大量警报,并且由于目标违规行为以及随后的许多其他事件,他们常常忽略或未完全注意到这些警报。威胁通常会失去噪音。
IT组织正在转向安全过程自动化,以帮助他们更快地对安全事件做出响应。通过自动化,负担从人转移到工具。当安全工具一起使用时,管理员将不再留下来连接点自己。相反,安全基础架构可以共同识别和分析潜在威胁。
例如,Aruba Clearpass政策经理使您可以保护所有涵盖有线,移动和物联网的设备类型的网络访问,并提供可见性,策略控制和工作流动自动化。您可以基于非常精细的上下文定义智能访问策略,包括设备类型,所有权状态或操作系统。
但是ClearPass更进一步:它与您的安全性和IT基础架构结合使用,可以为您连接点和执行策略。防火墙,入侵预防系统,端点安全解决方案,移动设备管理人员和安全信息企业经理(SIEM),票务系统麻烦和其他产品作为Clearpass的眼睛和耳朵。Clearpass Exchange,用于ClearPass的生态系统合作伙伴计划与150多个技术合作伙伴合作。
假设我的笔记本电脑突然开始发送大量数据。在网络上检测到不寻常的数据流并登录到微焦弧形。ArcSight可以使用明确定义的ClearPass API自动传递有关此可疑活动的警报,并且ClearPass可以自动执行策略以保护网络免受笔记本电脑的侵害。政策行动可能会有所不同,具体取决于违反政策的严重性,并可以考虑ClearPass始终可以访问的其他背景。例如,ClearPass可以通过与防火墙结合使用来阻止该设备的访问。威胁自动中和,没有手动干预。或ClearPass可以隔离设备并迫使用户重新认证。或者它可以简单地将警报发送给故障票务系统或IT服务台,以进行进一步操作。
合作伙伴解决方案使用明确定义的REST API,Syslog,NetFlow等与ClearPass集成,除了将警报或信息发送到ClearPass外,合作伙伴解决方案还可以从ClearPass中提取上下文,用户和设备身份验证数据,这将帮助他们更有效,准确具有自己的相关性,分析和威胁检测功能。
逐步的方法
即使大多数安全管理员负担重负担,许多人还是对自动拒绝网络访问的谨慎态度,因为该设备可能属于高管或关键业务流程。自动化安全策略执行并不一定意味着完全失控。
取而代之的是,采用逐步的方法来自动检测,验证和执行。首先在违反特定政策时提醒服务台。这样,服务台工作人员可以查看事件并根据需要升级。在获得信心时,您可以自动化检测和执法。如果没有其他的话,您可以通过利用其数据库中的深层上下文以及与大量安全解决方案的集成来更有效地检测和标记网络中的问题。
