其乐融融的IT技术小站

DPI:对于现代 SOC 仍然有效吗?

在过去十年左右的时间里,安全行业一直在争论深度数据包检测 (DPI) 是否已经消亡。事实上,有些人甚至开玩笑地称其为“死投资”。随着现代网络变得越来越分散,这种争论最近愈演愈烈,使我们达到了一个临界点,即许多组织的权衡变得不可持续。

最近的研究发现,大约 87% 的企业正在采用多云方法,这意味着部署可以帮助安全团队了解其网络上的内容的解决方案变得越来越棘手。坦率地说,即使在大多数物理本地环境中,它也变得相当棘手,特别是随着越来越多的组织转向需要加密的零信任模型。这使得 DPI 很难了解网络流量以检查数据包,并且任何解决方法通常都非常昂贵且难以部署。

也就是说,DPI 事实上并没有消亡。但它越来越难以扩展。从历史上看,网络主要由位于受控数量的设置和位置的设备组成。这使得在任何地方部署 DPI 变得更加易于管理。现在,我们在各种不同环境(从本地到云和多云,甚至混合环境)中部署的设备、水龙头、传感器和代理的数量使得这几乎是不可能的。再加上到达所有这些点的巨大带宽和各种流量,以及检查所有这些点所需的计算资源,我们正在考虑对大多数组织来说,这是一项极其昂贵的工作。

在零信任环境中尤其如此:团队必须平衡解密流量的成本与他们需要检查的内容。检查流量所需的专业技术所涉及的财务成本以及与之相关的计算成本可能会进一步增加账单。然后随着网络的扩展,你必须增加更多的DPI,财务成本也会随之增加。 

安全团队必须采用基于风险的方法来确定在哪里部署 DPI 最有意义。如果他们充分了解网络的哪些区域是攻击者的高价值目标(例如计费部门中保存敏感客户财务信息且必须遵守 PCI 法规的服务器),他们就可以为这些区域实施和管理 DPI。做出这样的决定只是良好的安全实践。

DPI 还可以帮助进行行为分析,使安全团队能够识别其他安全工具无法检测到的异常网络行为。它还可以帮助分析对于了解网络流量类型至关重要的特定协议和应用程序。

然而,正如之前提到的,DPI 真正崩溃的地方是云、多云和本地环境真正发挥作用的不断发展的分散网络。由于隐私和安全挑战等多种原因,云中的 DPI 根本不实用,而且在许多情况下,云提供商不希望大规模提供数据包。虽然云的数据包分流聚合器确实存在,但它们通常价格昂贵且难以管理和维护,甚至需要一定程度的解密。

对于那些不需要 DPI 提供的高保真检查的领域,可以使用流量分析等替代技术,该技术可聚合通过 IP 地址、端口和协议等公共属性传递的数据包。流分析还结合了丰富的元数据,无论加密如何,都可以识别异常或恶意行为。Flow 还可以与来自网络应用程序服务(例如 DNS)的日志相结合,以更深入地了解网络上发生的情况。它可以完全在云中完成,从而可以在团队需要的时间和地点进行自动配置和自动注册以实现可见性,而不必需要设备或其他本地硬件部署。

DPI 在现代 SOC 中仍然有用,但其有效性和相关性取决于组织的特定安全需求。团队明智的做法是将其部署在风险最高的区域,并将其与其他安全技术(例如 Netflow 和其他流量元数据日志分析)结合使用。与其他安全技术相结合,团队可以在 DPI 之间取得良好的平衡,创建全面的安全策略,确保网络可见性和强大的访问控制,同时实现大幅降低 TCO 的结果。 

赞 ()
分享到:更多 ()

相关推荐

内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: