作者:克里斯·理查森和鲍勃·罗斯到了三角测量的时候了最近,出现了以下问题:"IPAM和核心网络服务如何与我在安全方面的功能角色相关?"为了回答这个问题并将这些概念联系在一起,Srinivas Hanabe的一个永恒的"后备箱",简单易读的安全博客讨论了如何使用智能IPAM来更好地保护您的网络免受流氓和受感染设备的攻击。对于每一个事件调查者和事件响应者,这篇文章值得花费几分钟时间从战略规划和战术最佳实践的角度进行回顾。为了进一步阐明IPAM在安全方面的价值,请考虑以下几点。我们经常听到一些行话,ddos防御节点,将"检测时间"和"补救时间"作为切实可行的安全措施。这样的尺度在向高层领导汇报时也起到了很好的作用。我们已经和许多安全领导人谈过了,他们在主甲板上放了三张幻灯片,cc防御内容,每个季度的峰会有15分钟的时间来证明他们的观点——不管是什么情况。但另一个衡量标准呢?-是时候进行三角测量了。三角化时间可以定义为当你意识到你的权限范围内的威胁和你了解有关威胁可能渗透到你的网络的地点和时间的细节之间的时间间隔。更具体地说,这涉及到知道哪些设备可能访问了网络(超出了基本约定)、可能使用了哪个端口以及明显攻击的潜在物理位置。当然,你还需要用户、设备和威胁情况的历史和背景。到达那个状态可以被认为是信号的三角剖分。换言之,这是当不同的内部和外部数据源告诉您一些重要或紧急的事情时,但是是异步的。 当然,我们希望尽可能减少这段时间来三角测量,同时降低成本。挖掘日志的概念在很大程度上已被现代安全信息和事件管理(SIEM)所取代,这也导致了"大关联漏斗"的其他表现形式。但如果SIEM没有您所需的用户/设备数据,并且您也没有简单的方法在档案中进行深入研究,那么您就只能这样做了打开IT罚单,ddos服务防御措施,阿里云ecs有ddos防御,确定"3周前Joe的笔记本电脑在网络上的什么位置?"因此,您必须继续进行下一个活动,这取决于您所在组织的规则和政策。您需要等待更多的数据进行三角化,而不是立即了解业务中所有业务的internet协议(IP)分配—同时知道这种可靠的数据遥测是现代IPAM解决方案的标志。使用您需要的数据启动事件响应等待额外的数据以便对潜在的威胁做出正确的反应是真正的风险。你知道威胁就在网络的某个地方。你甚至可能知道什么是威胁类别,但是如果不确定零号病人(一个很好的挥霍的用例),你就不知道你需要把资源集中在哪里。从数据保留策略的角度来看,ddos防御CDN好吗,这是令人不安的,但也因为您知道几天前,您权限内的一个设备接触到了今天才被标记为新威胁的东西。真正的挑战是:当高层管理人员问"我们的状态好吗?"?我们怎样才能避免变得像是为了保护那些在那一天缺乏知名度的人而修订的公司名称?我们"在上面"吗?目标是100%能见度一个强有力的解决方案是,在下一个季度峰会之前,将已经或曾经在您的网络上的设备和数据库作为一个基本的操作原则和可实现的里程碑。这种原则有助于在您可能非常熟悉的议程主题上"穿越会议",例如:计划漏洞扫描-下一步DLP更新-与团队联系为与XYZ,Inc.合并调整安全性。IPv6状态检查IR工作流程审查-所有SOC管理人员/所有人员SOC West/SOC NAM简而言之,您的组织如何使用IPAM来影响您日常安全角色中的一系列事情。如果不能百分之百地了解所连接的内容,您就有可能使环境中所有其他安全产品、流程、解决方案、个人和决策的价值恶化。正如前一篇文章中所提到的,与其无意中"发现"网络上的IP地址比原先想象的要多,或者看到漏洞扫描实现完全漏掉了它们要覆盖的网络地图的三分之一,解决办法很简单:现在就要通过深思熟虑地接近现代IP地址管理来摆脱这种情况。那么,关键的收获是什么?从内部和外部来源三角化数据,以获得上下文和
快速响应。使用所需的可靠数据启动事件响应。向所有网络端点100%可见性迈进,因为您无法保护看不到的内容。下周关注现代IPAM作为安全资产的第2部分。1+
