盡管網(wǎng)絡和安全對于彼此以及對于業(yè)務運營都至關(guān)重要，但網(wǎng)絡運營和安全運營團隊(分別是NetOps和SecOps)通常是孤立的。

如果不完全了解SecOps團隊的工作，NetOps團隊可能無法有效幫助抵御重大網(wǎng)絡安全威脅，例如漏洞和惡意軟件。網(wǎng)絡性能監(jiān)控供應商Viavi Solutions公司的高級解決方案工程師Matt Allen表示，NetOps團隊必須了解網(wǎng)絡安全基礎(chǔ)知識，以及SecOps團隊每天工作中如何增強企業(yè)的網(wǎng)絡安全和網(wǎng)絡安全戰(zhàn)略。

在一次網(wǎng)絡研討會中，Allen試圖彌合NetOps和SecOps專業(yè)人員之間的差距。他探討了針對網(wǎng)絡工程師的關(guān)鍵網(wǎng)絡安全基礎(chǔ)知識，包括不同類型的網(wǎng)絡攻擊-和攻擊者-以及安全服務提供的不同防御層。

網(wǎng)絡工程師的三個網(wǎng)絡安全基礎(chǔ)知識

企業(yè)的SecOps團隊每天處理無數(shù)的網(wǎng)絡安全事件，他們不斷地爭分奪秒地及時修復問題。以下是NetOps團隊應該了解的三個基本網(wǎng)絡安全基礎(chǔ)知識。

網(wǎng)絡攻擊者類型

根據(jù)Allen的說法，網(wǎng)絡攻擊者通常屬于以下三類：

• 低風險攻擊者。與更高級的攻擊者相比，這些攻擊者的技能較低，也沒有那么有耐心，并且使用在線免費提供的工具。他們的攻擊通常是攻擊者類型中最快和最簡單的。
• 中等風險攻擊者。這些攻擊者比低風險攻擊者更有耐心。黑客行動主義者屬于這一類，他們的目的是竊取知識產(chǎn)權(quán)，或因道德、政治或普遍分歧而企圖發(fā)動攻擊。
• 高風險攻擊者。高風險攻擊者愿意在幾個月到幾年的時間里慢慢了解員工的習慣和業(yè)務運營。Allen稱，這些可能是民族國家或有組織的犯罪攻擊者，他們希望獲得盡可能多的收獲。

NetOps團隊應該了解網(wǎng)絡攻擊者的基本指標，因為網(wǎng)絡數(shù)據(jù)(例如數(shù)據(jù)包或流量數(shù)據(jù))可以幫助跟蹤不良行為者的行為。這些知識可以使團隊在攻擊發(fā)生時阻止攻擊，防止攻擊或幫助團隊在無法阻止攻擊時從錯誤中吸取教訓。

Allen稱：“如果企業(yè)擔心真正嫻熟的攻擊者會花時間發(fā)起攻擊，你需要詳細的數(shù)據(jù)來追捕他們，因為他們會盡量保持安靜。網(wǎng)絡數(shù)據(jù)有助于大多數(shù)檢測和攻擊事件后補救。”

網(wǎng)絡攻擊類型

與各種類型的網(wǎng)絡攻擊者一樣，企業(yè)面對著多種類型的網(wǎng)絡攻擊。根據(jù)Allen的說法，最常見的攻擊包括以下：

• 高級持續(xù)攻擊(APT)。高風險攻擊者是最有可能的APT罪魁禍首。這些攻擊涉及入侵者(未被發(fā)現(xiàn))花費很長時間了解一個組織，該組織通常是高級別的，例如政府或金融組織。APT通常會竊取數(shù)據(jù)和信息，而不是對網(wǎng)絡造成重大損害。
• 通用漏洞披露(CVE)。雖然不一定是攻擊，但CVE是另一類網(wǎng)絡威脅。漏洞和披露分別使攻擊者能夠直接和間接地訪問網(wǎng)絡資源。CVE威脅需要補丁，SecOps團隊為所有易受攻擊的硬件或軟件處理這些補丁。
• 網(wǎng)絡釣魚。網(wǎng)絡釣魚攻擊最常見于員工收到的未經(jīng)請求的電子郵件，這些電子郵件可能看似來自信譽良好的來源，但其中包含用于竊取員工憑據(jù)的惡意鏈接或附件。Allen說，在90%的數(shù)據(jù)泄露事件中，最開始是網(wǎng)絡釣魚攻擊。
• 勒索軟件攻擊。勒索軟件是一種越來越常見的基本惡意軟件類型。勒索軟件涉及鎖定或加密某人數(shù)據(jù)并要求付款作為回報的攻擊者。低風險攻擊者通常會執(zhí)行勒索軟件攻擊，因為如果組織愿意付款，它們是一種快速簡便的賺錢方式。
• SQL注入攻擊。SQL注入以機密數(shù)據(jù)為目標，以便將其公開。為了完成SQL注入，攻擊者使用SQL代碼訪問加密資源或更改機密或敏感數(shù)據(jù)。這些攻擊可能會損害任何具有SQL數(shù)據(jù)庫的Web應用程序。

對于APT攻擊，NetOps團隊可以提供網(wǎng)絡數(shù)據(jù)，他們可以追蹤攻擊者的數(shù)據(jù)以查看他們訪問、更改或定位的內(nèi)容。此外，可以說，NetOps團隊最熟悉網(wǎng)絡的運行方式，因此他們可以利用這種專家級的洞察力在問題出現(xiàn)時或在他們造成無法彌補的損失之前發(fā)現(xiàn)問題。

Allen稱：“你必須非常了解自己的流量。如果我知道打印機應該與這臺機器對話，那么當發(fā)生異常情況時，我就能知道。這對每個人來說都是不同的，所以設(shè)備指紋和基線檢查非常重要?！?/p>

安全服務類型

網(wǎng)絡安全基礎(chǔ)的關(guān)鍵因素是企業(yè)投資的安全服務或服務。Allen說，大多數(shù)安全服務都屬于三層防御之一，盡管很多服務結(jié)合了多層，或者企業(yè)可能會選擇多供應商、多層方法。這些防御層如下：

• 保護。保護層就像城堡周圍的護城河。保護服務僅旨在阻止未經(jīng)授權(quán)的用戶進入網(wǎng)絡。示例包括防火墻、VPN和入侵防御系統(tǒng)。
• 檢測。檢測層是城堡守衛(wèi)：如果服務感知到威脅，它會提醒SecOps團隊并表示應該調(diào)查潛在威脅。這些服務不執(zhí)行警報以外的任何操作。示例是入侵檢測系統(tǒng)。
• 響應。響應層包括騎士-甚至是巫師-采取行動保護王國或網(wǎng)絡，Allen說。這些服務提供機器重新映像功能，并且可以主動關(guān)閉網(wǎng)絡上潛在的有害活動，以驗證是否存在問題。示例是網(wǎng)絡性能監(jiān)控和診斷工具。 雖然企業(yè)可能難以在供應商之間進行選擇，但IT團隊可以提出幾個問題來確定哪種服務提供哪一層防御以及企業(yè)是否需要該功能。

Allen稱：“一切都在發(fā)展，我們真正需要知道的是：這會阻止流量嗎?它會允許它并只是提醒它嗎?或者這是幫助你在有人進入時追捕的工具?”

隨著NetOps團隊在安全問題上花費更多時間，這些網(wǎng)絡安全基礎(chǔ)知識對于確保組織保持安全以及幫助NetOps和SecOps團隊彌合孤立的差距，并共同努力維護安全至關(guān)重要。