更好地监控和管理网络威胁的 CDM 相关提示

2018 年 11 月，国会通过了一项法案，成立了网络安全和基础设施安全局 (CISA)。 隶属于国土安全部的 CISA 提出了针对日益严重的网络攻击威胁的联邦应对措施——在美国人事管理办公室 (OPM) 于2015 年发生大规模泄密事件后，这一威胁成为人们关注的焦点，此次泄密事件导致 2200 万联邦雇员的个人数据遭到泄露。

改善联邦网络安全的一个关键要素是可见性，CISA 的持续诊断和缓解 (CDM) 计划正在解决这个问题。 去年，国会将CDM资金增加了5350万美元，为该计划拨款总额达到2.135亿美元。

该计划的目标包括减少机构的威胁面、提高其网络态势的可见性、提高其响应能力以及简化报告流程。 由于这些资金实际上被投入到技术投资中，因此各机构需要认识到，没有任何一个供应商能够解决整个 CDM 难题。

考虑到这一点，让我们深入研究一些可以帮助实现可见性的技术，并考虑它们之间的关系。

SSL 可见性

首先，显而易见的是，联邦机构需要了解其网络上来往的流量，以确保其不是恶意的。 虽然许多安全设备可以查看流量并检测威胁，但如果流量被加密（90% 的互联网数据都是加密的），它们就无法做到这一点。

这有点像是第 22 条军规。 加密虽然可以保护数据隐私，但也可以掩盖恶意软件。 这个难题可以通过SSL 可视化产品来解决，该产品根据 IP 信誉、端口/协议和 URL 分类等上下文，在流量传送到安全工具之前对其进行解密和重新加密。

SSL 可见性工具允许安全设备做它们最擅长的事情——实际分析流量——而不是在密集的解密/重新加密过程上浪费宝贵的资源。 如果没有这一关键步骤，就无法全面了解网络威胁。

改善监测

如果机构无法开放其网络上来往的流量，他们就无法正确记录——而记录和报告是 CDM 要求的关键组成部分。 只有正确解密流量，机构才能将其发送到中心位置进行记录、监控、报告和进一步分析。

例如，通过适当的解密和记录，机构可以使用行为分析、人工智能和机器学习对流量进行行为分析。 目前， 88% 的联邦民事机构正在使用一种名为 Einstein 的工具来实现这一目标。

但再一次，这些拼图碎片必须全部拼合在一起。 如果没有上述解密，高级分析就不可能发生。

保护资产

SSL 可见性可以打开加密流，以允许安全设备帮助记录和保护这些资产。 但保护的方法有很多。 首先，机构需要保护自己免受OWASP 十大威胁和新出现的零日攻击。 另一种缓解策略是记录和监控流量以便进行分析，进一步突出网络安全不同组成部分之间的相互联系。

同样，许多多服务应用保护平台也能够而且必须防范恶意机器人流量。 每个行业都会面临自动化攻击，例如账户接管、漏洞侦察或拒绝服务，联邦政府也不例外。

综合起来

CISA 的 CDM 计划提出了一个复杂但重要的难题，各机构无法通过单一供应商来解决。 资产保护本身需要多种解决方案，因为机构正在防御越来越多的攻击。 但如果不检查其他框（例如解密和记录流量），则无法实现这种保护。

归根结底，机构无法保护他们看不到的东西。 虽然这是 CDM 计划背后的驱动力，但各机构必须确保他们拥有适当的工具来确保可见性。 破解加密流量、将其发送到中央日志、运行行为分析并设置适当的资产保护是一个很好的起点。

作者：Ryan Johnson，F5 联邦解决方案工程主管