您的網絡安全工具正在工作、優化，并提供真實、可測量的業務價值。它們成功地阻止了攻擊，檢測到不法活動，并向安全團隊發出警報。

然后它發生了。在某個地方，安全部門之外的人做出了改變。該更改沒有傳達給安全團隊。現在突然之間，您的網絡安全工具變得無效，更糟糕的是，財務、品牌和操作風險已經被引入組織。你的網絡安全效率已經偏離了一個眾所周知的良好狀態。你正在經歷環境變遷。

環境漂移

造成環境漂移的原因有很多。通常情況下，環境漂移是IT人員或相關團隊在沒有任何惡意的情況下進行更改的結果。然而，更改可能不會傳達給安全團隊，或者可能會產生意外后果，降低網絡安全有效性。

以下是一些可以引入環境漂移的方法和可能產生的影響的例子

1.安裝的代理無意中降低了網絡安全工具及其管理控制臺之間的syslog流量。這可能會導致管理控制臺上缺乏可見性，如果涉及到SIEM，則根本看不到與相關性和警報相關的事件。

2.tap或span被修改為僅向網絡安全工具發送單向流量。這可能導致網絡安全工具完全失效，因為許多工具需要訪問雙向流量才能正確運行。

3.防火墻規則配置更改是為了打開各種端口進行測試，但是配置永遠不會返回到以前的狀態。這可能導致廣泛的問題，例如數據溢出、允許明文協議、成功信標和活動C2。

4.在完全測試之前對端點網絡安全工具進行的更新會破壞一些現有功能。這可能導致端點(如筆記本電腦和服務器)容易受到憑證盜竊、數據盜竊和破壞。

5.云中的配置修改改變了網絡分割。這可能導致web服務器、數據庫和其他資產不受防火墻或WAFs等網絡安全工具的保護，因為從網絡的角度看，這些資產現在位于這些網絡安全工具的internet端。這種類型的錯誤在云中很容易犯，而在數據中心中就不太可能犯了，因為數據中心是物理連接電纜的地方。

這些只是幾個簡單的例子，在這些例子中，已知的良好網絡安全有效性基線可能會因為環境變化而漂移，而安全團隊甚至可能不知道這些環境變化。環境漂移隨時隨地都在發生，與公司規模、流程和工具無關。它極大地降低了網絡安全工具和團隊提供的價值，并將組織置于風險之中。

檢測和減輕漂移

由于環境漂移隨時可能發生，影響到任何網絡安全工具，因此當您偏離已知的良好網絡安全有效性狀態時，有必要使用自動化方法來檢測。換句話說，你知道當這個東西工作的時候，它停止了工作。例如，我的WAF阻止基于云的web服務器的XSS攻擊，我的DLP阻止PII通過ICMP(無論壓縮類型如何)訪問Internet，我的SIEM基于網絡安全工具和操作系統日志關聯和警告橫向移動。但現在有些事情已經停止了。

那么，我們能做些什么呢

創建已知良好網絡安全有效性的基線。了解您的網絡安全工具如何應對各種測試，如數據過濾、惡意軟件的安裝和執行、信標以及跨端點、電子郵件、網絡和云網絡安全工具的數千種其他措施。在大多數情況下，您將需要調整這些網絡安全工具，使其按照您希望的方式運行，因為驗證其有效性的過程通常會產生許多缺點。

使用自動化來檢測偏離已知良好基線的偏差。您仍然可能有一個不完美的環境，但是隨著您的不斷改進，您將知道在每個階段您的網絡安全工具應該如何預防、檢測、警報，等等。任何偏離通過自動化檢測到的已知良好基線的偏差都是異常。對異常的響應意味著您將通過異常進行管理，從而使您的響應更加精確，例如知道在云中阻止XSS的WAF在15分鐘前停止阻止XSS。

使用這些漂移作為事后分析的場景，目的是改進網絡安全團隊與其他人之間的流程和通信。

正在進行的緩解環境變化的努力，往往會強調需要在哪些領域進行投資，以進一步提高網絡安全的有效性，以及哪些領域可以消除遺留或冗余的解決方案，從而使這些資金能夠再投資于更關鍵的領域。繼續擴大您已知的良好基線的覆蓋范圍，以及用于驗證您的網絡安全有效性的測試類型。

環境變遷不會消失。有太多的變量和太多的復雜性，無法完全解決這個問題。然而，使用自動化，環境漂移可以被檢測并減輕，而這樣做的過程將對整個網絡安全有效性產生更廣泛的影響——導致改進變更管理和溝通，網絡安全投資帶來更大的價值和精確度，最終，減少了來自網絡威脅的財務、品牌和運營風險。

來源：Brian Contos