盡管網(wǎng)絡(luò)和安全對于彼此以及對于業(yè)務(wù)運(yùn)營都至關(guān)重要，但網(wǎng)絡(luò)運(yùn)營和安全運(yùn)營團(tuán)隊(分別是NetOps和SecOps)通常是孤立的。

如果不完全了解SecOps團(tuán)隊的工作，NetOps團(tuán)隊可能無法有效幫助抵御重大網(wǎng)絡(luò)安全威脅，例如漏洞和惡意軟件。網(wǎng)絡(luò)性能監(jiān)控供應(yīng)商Viavi Solutions公司的高級解決方案工程師Matt Allen表示，NetOps團(tuán)隊必須了解網(wǎng)絡(luò)安全基礎(chǔ)知識，以及SecOps團(tuán)隊每天工作中如何增強(qiáng)企業(yè)的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全戰(zhàn)略。

在一次網(wǎng)絡(luò)研討會中，Allen試圖彌合NetOps和SecOps專業(yè)人員之間的差距。他探討了針對網(wǎng)絡(luò)工程師的關(guān)鍵網(wǎng)絡(luò)安全基礎(chǔ)知識，包括不同類型的網(wǎng)絡(luò)攻擊-和攻擊者-以及安全服務(wù)提供的不同防御層。

網(wǎng)絡(luò)工程師的三個網(wǎng)絡(luò)安全基礎(chǔ)知識

企業(yè)的SecOps團(tuán)隊每天處理無數(shù)的網(wǎng)絡(luò)安全事件，他們不斷地爭分奪秒地及時修復(fù)問題。以下是NetOps團(tuán)隊?wèi)?yīng)該了解的三個基本網(wǎng)絡(luò)安全基礎(chǔ)知識。

網(wǎng)絡(luò)攻擊者類型

根據(jù)Allen的說法，網(wǎng)絡(luò)攻擊者通常屬于以下三類：

• 低風(fēng)險攻擊者。與更高級的攻擊者相比，這些攻擊者的技能較低，也沒有那么有耐心，并且使用在線免費(fèi)提供的工具。他們的攻擊通常是攻擊者類型中最快和最簡單的。
• 中等風(fēng)險攻擊者。這些攻擊者比低風(fēng)險攻擊者更有耐心。黑客行動主義者屬于這一類，他們的目的是竊取知識產(chǎn)權(quán)，或因道德、政治或普遍分歧而企圖發(fā)動攻擊。
• 高風(fēng)險攻擊者。高風(fēng)險攻擊者愿意在幾個月到幾年的時間里慢慢了解員工的習(xí)慣和業(yè)務(wù)運(yùn)營。Allen稱，這些可能是民族國家或有組織的犯罪攻擊者，他們希望獲得盡可能多的收獲。

NetOps團(tuán)隊?wèi)?yīng)該了解網(wǎng)絡(luò)攻擊者的基本指標(biāo)，因為網(wǎng)絡(luò)數(shù)據(jù)(例如數(shù)據(jù)包或流量數(shù)據(jù))可以幫助跟蹤不良行為者的行為。這些知識可以使團(tuán)隊在攻擊發(fā)生時阻止攻擊，防止攻擊或幫助團(tuán)隊在無法阻止攻擊時從錯誤中吸取教訓(xùn)。

Allen稱：“如果企業(yè)擔(dān)心真正嫻熟的攻擊者會花時間發(fā)起攻擊，你需要詳細(xì)的數(shù)據(jù)來追捕他們，因為他們會盡量保持安靜。網(wǎng)絡(luò)數(shù)據(jù)有助于大多數(shù)檢測和攻擊事件后補(bǔ)救?！?/p>

網(wǎng)絡(luò)攻擊類型

與各種類型的網(wǎng)絡(luò)攻擊者一樣，企業(yè)面對著多種類型的網(wǎng)絡(luò)攻擊。根據(jù)Allen的說法，最常見的攻擊包括以下：

• 高級持續(xù)攻擊(APT)。高風(fēng)險攻擊者是最有可能的APT罪魁禍?zhǔn)?。這些攻擊涉及入侵者(未被發(fā)現(xiàn))花費(fèi)很長時間了解一個組織，該組織通常是高級別的，例如政府或金融組織。APT通常會竊取數(shù)據(jù)和信息，而不是對網(wǎng)絡(luò)造成重大損害。
• 通用漏洞披露(CVE)。雖然不一定是攻擊，但CVE是另一類網(wǎng)絡(luò)威脅。漏洞和披露分別使攻擊者能夠直接和間接地訪問網(wǎng)絡(luò)資源。CVE威脅需要補(bǔ)丁，SecOps團(tuán)隊為所有易受攻擊的硬件或軟件處理這些補(bǔ)丁。
• 網(wǎng)絡(luò)釣魚。網(wǎng)絡(luò)釣魚攻擊最常見于員工收到的未經(jīng)請求的電子郵件，這些電子郵件可能看似來自信譽(yù)良好的來源，但其中包含用于竊取員工憑據(jù)的惡意鏈接或附件。Allen說，在90%的數(shù)據(jù)泄露事件中，最開始是網(wǎng)絡(luò)釣魚攻擊。
• 勒索軟件攻擊。勒索軟件是一種越來越常見的基本惡意軟件類型。勒索軟件涉及鎖定或加密某人數(shù)據(jù)并要求付款作為回報的攻擊者。低風(fēng)險攻擊者通常會執(zhí)行勒索軟件攻擊，因為如果組織愿意付款，它們是一種快速簡便的賺錢方式。
• SQL注入攻擊。SQL注入以機(jī)密數(shù)據(jù)為目標(biāo)，以便將其公開。為了完成SQL注入，攻擊者使用SQL代碼訪問加密資源或更改機(jī)密或敏感數(shù)據(jù)。這些攻擊可能會損害任何具有SQL數(shù)據(jù)庫的Web應(yīng)用程序。

對于APT攻擊，NetOps團(tuán)隊可以提供網(wǎng)絡(luò)數(shù)據(jù)，他們可以追蹤攻擊者的數(shù)據(jù)以查看他們訪問、更改或定位的內(nèi)容。此外，可以說，NetOps團(tuán)隊最熟悉網(wǎng)絡(luò)的運(yùn)行方式，因此他們可以利用這種專家級的洞察力在問題出現(xiàn)時或在他們造成無法彌補(bǔ)的損失之前發(fā)現(xiàn)問題。

Allen稱：“你必須非常了解自己的流量。如果我知道打印機(jī)應(yīng)該與這臺機(jī)器對話，那么當(dāng)發(fā)生異常情況時，我就能知道。這對每個人來說都是不同的，所以設(shè)備指紋和基線檢查非常重要?！?/p>

安全服務(wù)類型

網(wǎng)絡(luò)安全基礎(chǔ)的關(guān)鍵因素是企業(yè)投資的安全服務(wù)或服務(wù)。Allen說，大多數(shù)安全服務(wù)都屬于三層防御之一，盡管很多服務(wù)結(jié)合了多層，或者企業(yè)可能會選擇多供應(yīng)商、多層方法。這些防御層如下：

• 保護(hù)。保護(hù)層就像城堡周圍的護(hù)城河。保護(hù)服務(wù)僅旨在阻止未經(jīng)授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)。示例包括防火墻、VPN和入侵防御系統(tǒng)。
• 檢測。檢測層是城堡守衛(wèi)：如果服務(wù)感知到威脅，它會提醒SecOps團(tuán)隊并表示應(yīng)該調(diào)查潛在威脅。這些服務(wù)不執(zhí)行警報以外的任何操作。示例是入侵檢測系統(tǒng)。
• 響應(yīng)。響應(yīng)層包括騎士-甚至是巫師-采取行動保護(hù)王國或網(wǎng)絡(luò)，Allen說。這些服務(wù)提供機(jī)器重新映像功能，并且可以主動關(guān)閉網(wǎng)絡(luò)上潛在的有害活動，以驗證是否存在問題。示例是網(wǎng)絡(luò)性能監(jiān)控和診斷工具。 雖然企業(yè)可能難以在供應(yīng)商之間進(jìn)行選擇，但I(xiàn)T團(tuán)隊可以提出幾個問題來確定哪種服務(wù)提供哪一層防御以及企業(yè)是否需要該功能。

Allen稱：“一切都在發(fā)展，我們真正需要知道的是：這會阻止流量嗎?它會允許它并只是提醒它嗎?或者這是幫助你在有人進(jìn)入時追捕的工具?”

隨著NetOps團(tuán)隊在安全問題上花費(fèi)更多時間，這些網(wǎng)絡(luò)安全基礎(chǔ)知識對于確保組織保持安全以及幫助NetOps和SecOps團(tuán)隊彌合孤立的差距，并共同努力維護(hù)安全至關(guān)重要。