您的网络安全工具正在工作、优化，并提供真实、可测量的业务价值。它们成功地阻止了攻击，检测到不法活动，并向安全团队发出警报。

然后它发生了。在某个地方，安全部门之外的人做出了改变。该更改没有传达给安全团队。现在突然之间，您的网络安全工具变得无效，更糟糕的是，财务、品牌和操作风险已经被引入组织。你的网络安全效率已经偏离了一个众所周知的良好状态。你正在经历环境变迁。

环境漂移

造成环境漂移的原因有很多。通常情况下，环境漂移是IT人员或相关团队在没有任何恶意的情况下进行更改的结果。然而，更改可能不会传达给安全团队，或者可能会产生意外后果，降低网络安全有效性。

以下是一些可以引入环境漂移的方法和可能产生的影响的例子

1.安装的代理无意中降低了网络安全工具及其管理控制台之间的syslog流量。这可能会导致管理控制台上缺乏可见性，如果涉及到SIEM，则根本看不到与相关性和警报相关的事件。

2.tap或span被修改为仅向网络安全工具发送单向流量。这可能导致网络安全工具完全失效，因为许多工具需要访问双向流量才能正确运行。

3.防火墙规则配置更改是为了打开各种端口进行测试，但是配置永远不会返回到以前的状态。这可能导致广泛的问题，例如数据溢出、允许明文协议、成功信标和活动C2。

4.在完全测试之前对端点网络安全工具进行的更新会破坏一些现有功能。这可能导致端点(如笔记本电脑和服务器)容易受到凭证盗窃、数据盗窃和破坏。

5.云中的配置修改改变了网络分割。这可能导致web服务器、数据库和其他资产不受防火墙或WAFs等网络安全工具的保护，因为从网络的角度看，这些资产现在位于这些网络安全工具的internet端。这种类型的错误在云中很容易犯，而在数据中心中就不太可能犯了，因为数据中心是物理连接电缆的地方。

这些只是几个简单的例子，在这些例子中，已知的良好网络安全有效性基线可能会因为环境变化而漂移，而安全团队甚至可能不知道这些环境变化。环境漂移随时随地都在发生，与公司规模、流程和工具无关。它极大地降低了网络安全工具和团队提供的价值，并将组织置于风险之中。

检测和减轻漂移

由于环境漂移随时可能发生，影响到任何网络安全工具，因此当您偏离已知的良好网络安全有效性状态时，有必要使用自动化方法来检测。换句话说，你知道当这个东西工作的时候，它停止了工作。例如，我的WAF阻止基于云的web服务器的XSS攻击，我的DLP阻止PII通过ICMP(无论压缩类型如何)访问Internet，我的SIEM基于网络安全工具和操作系统日志关联和警告横向移动。但现在有些事情已经停止了。

那么，我们能做些什么呢

创建已知良好网络安全有效性的基线。了解您的网络安全工具如何应对各种测试，如数据过滤、恶意软件的安装和执行、信标以及跨端点、电子邮件、网络和云网络安全工具的数千种其他措施。在大多数情况下，您将需要调整这些网络安全工具，使其按照您希望的方式运行，因为验证其有效性的过程通常会产生许多缺点。

使用自动化来检测偏离已知良好基线的偏差。您仍然可能有一个不完美的环境，但是随着您的不断改进，您将知道在每个阶段您的网络安全工具应该如何预防、检测、警报，等等。任何偏离通过自动化检测到的已知良好基线的偏差都是异常。对异常的响应意味着您将通过异常进行管理，从而使您的响应更加精确，例如知道在云中阻止XSS的WAF在15分钟前停止阻止XSS。

使用这些漂移作为事后分析的场景，目的是改进网络安全团队与其他人之间的流程和通信。

正在进行的缓解环境变化的努力，往往会强调需要在哪些领域进行投资，以进一步提高网络安全的有效性，以及哪些领域可以消除遗留或冗余的解决方案，从而使这些资金能够再投资于更关键的领域。继续扩大您已知的良好基线的覆盖范围，以及用于验证您的网络安全有效性的测试类型。

环境变迁不会消失。有太多的变量和太多的复杂性，无法完全解决这个问题。然而，使用自动化，环境漂移可以被检测并减轻，而这样做的过程将对整个网络安全有效性产生更广泛的影响——导致改进变更管理和沟通，网络安全投资带来更大的价值和精确度，最终，减少了来自网络威胁的财务、品牌和运营风险。

来源：Brian Contos