如何為特定場(chǎng)景選擇應(yīng)用安全工具
我們的安全團(tuán)隊(duì)?wèi)?yīng)該靠得到資金來(lái)提高應(yīng)用安全,我們考慮了諸如應(yīng)用白名單、下一代防火墻、應(yīng)用防火墻和應(yīng)用活動(dòng)監(jiān)控等技術(shù)。然而,我們可能只被批準(zhǔn)實(shí)施一種新產(chǎn)品。在這種特定情況下,我們應(yīng)該選擇什么產(chǎn)品呢?
在緊張的預(yù)算下實(shí)現(xiàn)網(wǎng)絡(luò)和應(yīng)用安全通常需要達(dá)成折中的方案,所以你要仔細(xì)地考慮確保做出正確的選擇。
很明顯你最關(guān)鍵的資產(chǎn)優(yōu)先級(jí)最高。將你的應(yīng)用和應(yīng)用處理的數(shù)據(jù)進(jìn)行分類,然后按照重要性對(duì)它們進(jìn)行排名。你可以使用危險(xiǎn)模型來(lái)辨識(shí)和評(píng)估應(yīng)用存在的風(fēng)險(xiǎn),選取排名前三的關(guān)鍵風(fēng)險(xiǎn)然后決定如何最好的減輕這些風(fēng)險(xiǎn)。你選擇的技術(shù)依賴于你們安全策略的目標(biāo)和要求,以及相關(guān)的法律和法規(guī)要求。
在你正在考慮的應(yīng)用安全工具類型中,應(yīng)用白名單技術(shù)對(duì)終端用戶的系統(tǒng)提供了最大程度的控制。基本上,白名單技術(shù)是一種默認(rèn)拒絕(default-deny)模式,與防病毒的默認(rèn)允許模型相反。盡管這種籠統(tǒng)的概念十分簡(jiǎn)單——只允許批準(zhǔn)的應(yīng)用運(yùn)行——但對(duì)于用戶來(lái)說(shuō),他們很難接受PC機(jī)和平板電腦被鎖定的這個(gè)事實(shí)。被考慮的任何產(chǎn)品必須能夠自動(dòng)化進(jìn)行異常管理和列表管理。
如果一想到要告訴你的老板他最喜歡的應(yīng)用不在白名單上會(huì)讓你倍感壓力,那么應(yīng)用防火墻能提供對(duì)常見(jiàn)、以及新興威脅的防護(hù)。你甚至可能在現(xiàn)有的防火墻上擁有需要的能力。一些大型的防火墻廠商以插件模塊提供Web應(yīng)用層防護(hù),極大地減少了管理一臺(tái)單獨(dú)防火墻所需的費(fèi)用和精力。但安裝防火墻是一回事,主動(dòng)的24 x7小時(shí)管理又是另一回事。確保你的管理員有能力和時(shí)間來(lái)處理告警和日志評(píng)審。如果你的職員已經(jīng)擁有調(diào)試和管理應(yīng)用防火墻的技能,這些額外的費(fèi)用可能僅是增量的(增量成本)。
應(yīng)用活動(dòng)監(jiān)控需要日志管理產(chǎn)品將所有的日志信息推送到某個(gè)地方,并比較來(lái)自各種來(lái)源的條目以便提供所有應(yīng)用活動(dòng)全部的視圖。大多數(shù)組織海量日志信息使得手動(dòng)進(jìn)行日志分析不太可行,所以自動(dòng)的日志管理是必要的,幫助對(duì)跨整個(gè)企業(yè)的日志進(jìn)行歸并處理、關(guān)聯(lián)、并對(duì)日志中捕捉到的信息做出響應(yīng)。有了該工具提供的可視性,你能主動(dòng)地解決潛在弱點(diǎn),更加有效地對(duì)安全事故進(jìn)行響應(yīng)。
相對(duì)于在單個(gè)功能點(diǎn)設(shè)備上進(jìn)行補(bǔ)丁管理、創(chuàng)建它們自己的日志,一個(gè)備選方法是采用統(tǒng)一威脅管理設(shè)備(UTM)。因?yàn)樗母鞣N服務(wù)設(shè)計(jì)用來(lái)協(xié)同工作,該設(shè)備從根本上提供了更為簡(jiǎn)單的網(wǎng)絡(luò)安全架構(gòu),并且可以通過(guò)集中化的控制臺(tái)進(jìn)行管理。UTM節(jié)省了時(shí)間、金錢和人力,使其成為極具性價(jià)比的選擇、具有更低的日常維護(hù)運(yùn)行費(fèi)用。在你的網(wǎng)絡(luò)上減少的物理設(shè)備也減少了你必須處理的廠商數(shù)量,所以你不需要具有多種技能的IT部門來(lái)部署、管理和更新來(lái)自不同廠商的不同產(chǎn)品。即使是稱職的管理員,避免沖突或是由于誤解哪些產(chǎn)品處理哪些威脅引起的不完全的規(guī)則集,都是一項(xiàng)耗時(shí)的任務(wù)。
單獨(dú)依靠UTM的不利之處是它引入了單點(diǎn)故障,且因?yàn)閁TM必須處理所有的任務(wù),網(wǎng)絡(luò)性能和可擴(kuò)展性也是需要考慮的問(wèn)題,特別是在大型的企業(yè)中。此外,如果你首選的UTM不具備滿足安全策略要求的所有功能,那你必須投資額外的設(shè)備。還有,你可能已經(jīng)擁有了很棒的反惡意軟件網(wǎng)關(guān),那就沒(méi)有必要使用和它功能重復(fù)的UTM了。
無(wú)論你選擇哪種類型的應(yīng)用安全軟件或是設(shè)備,獲取候選產(chǎn)品的評(píng)估版拷貝,并在測(cè)試環(huán)境中部署。只有那些滿足或是超出你短期和中期需求的產(chǎn)品才能入圍你的名單。同時(shí),確保它的費(fèi)用沒(méi)有超出需要保護(hù)的資產(chǎn)的價(jià)值、以及泄露事件預(yù)計(jì)的任何成本。
【編輯推薦】
