保护爆炸攻击面:政府机构的蓝图

IPv6爆炸攻击表面

2012年，美国政府要求所有政府机构过渡到IPv6，它的设计是为了克服IPv4地址疲惫。对于IPv6，有足够多的IP地址来容纳每一个连接的设备，在物联网、云计算和数字转型的时代，这是必要的。

从政府的角度来看，这转向IPv6 - 一些机构刚刚开始 - 以及云采用的加速率意味着几乎所有的一切 - 从军事武器到建立管理控制系统到投票机和人口普查 - 收集平板电脑 - 是IP-启用和网络生态系统的一部分。虽然这是从运营角度推动更大的有效性和效率，但它也引入了巨大的安全风险。

首先，更多的网络设备意味着更多的端点容易受到攻击。其次，由于云计算和数字转型，应用程序和系统的部署、更改和删除速度比以往任何时候都要快，使得安全团队不断尝试了解其网络基础设施的状态。最后但当然不是最不重要的，安全团队正在努力将所有网络资产置于正确的安全策略下，以控制访问，并确保强大的安全和合规态势。

在当今的“混合型机构”中，IT基础设施大规模分布且不断变化，是否有可能真正了解网络上的内容，保持适当的政策卫生，并以创新的速度获得持续的安全?答案是肯定的，这在很大程度上归功于网络态势感知和基于意图的网络安全。

实现cyber-situational意识

各机构必须找到一种方法，在物理、虚拟和云环境中监控网络资产和活动。这意味着实现实时可见性跨所有计算基础设施的所有端点和资源;理解这些端点如何与机构、互联网以及彼此相连;并识别可疑的流量、通向互联网的潜在泄漏路径、异常活动、未知的流氓设备和影子IT基础设施。

换句话说，IT安全团队必须能够在基础设施出现和发生变化时识别威胁和漏洞，以便开发有效的事件响应和风险缓解策略。以这种方式使用网络态势感知的机构拥有实时和准确的网络可见性，这是适当保护其网络、关键数据和我们国家的基础设施所必需的。以下是实现这种理想状态的5个技巧:

1. 验证网络IP地址空间。了解当前使用的IP地址空间范围，直观了解网络拓扑结构。与其从一组您认为包含整个组织的已知地址开始工作，不如验证没有未知地址。
2. 确定网络边缘。了解管理下的网络边界。
3. 人口普查进行端点。理解所有设备的存在在网络基础设施上，包括传统的ip连接设备，如路由器、网关、防火墙、打印机、pc、mac、iphone等，以及非传统的ip连接设备，包括医疗设备、安全摄像头、工业控制系统等。
4. 进行端点识别。评估网络上设备的性质，包括类型、操作系统和模型。
5. 确定网络的漏洞。评估和理解网络异常，如未知设备、非托管地址空间、泄漏路径等，以便进行补救。

整合基于意图的网络安全

一旦你对你的网络有了实时、全面的了解，你就可以实施适当的政策和规则。直到最近，IT安全团队才手工为每个实施点编写规则。在当今复杂、动态的混合环境中，手工策略管理过程是不可持续的——更不用说，它们代价高昂、负担沉重，而且容易出错。

基于意图的网络安全为全球安全策略管理提供了一个迫切需要的转变自动化政策编制并允许机构在不减慢开发进程或引入企业风险的情况下利用创新。

在高层次上，基于意图的网络安全将业务、DevOps、安全和合规团队联合起来，使他们能够在全球安全政策上进行协作。非安全人员确定应用程序的业务意图，而安全人员定义相应的安全性和遵从性意图，然后三者保持一致，以便策略更改能够完全自动化并满足各方的需求。手工编写规则已成为过去式，混合机构的所有资产都将置于适当的安全策略之下。

网络态势感知和基于意图的网络安全的强大组合，使机构能够使用下一代技术和流程，如物联网和云计算，而不会引入安全和合规风险。IT安全团队可以成功地保护他们的网络资产，无论有多少，他们居住在哪里或他们如何变化。攻击面的大小也不再重要，因为安全最终能够适应变化的速度——在当今世界，这是成功的蓝图。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。