保护网络可用性,即网络正常运行时间历史上,一些组织将网络防火墙内联部署视为“可有可无”,而不是IT安全的基本要素。当防火墙出现故障时,他们更愿意让它故障打开,让互联网流量在没有身份验证的情况下继续进入内部网络。当时的方法是,大多数流量是安全的,网络泄露的风险很低,因此中断网络运行没有商业意义。通过优先考虑防火墙恢复以限制潜在的风险,并通过分析网络流量副本(使用外带工具)在事后检测可疑活动,将业务风险降至最低。在访问被认为比安全更重要的情况下,故障打开更盛行。
补充另一个安全设备
组织可能希望在故障打开条件下运行安全解决方案,以补充现有安全设备的功能。一个示例是高级恶意软件防护(AMP)沙箱,该沙箱用于安全环境中执行未知文件,并将结果提供给反恶意软件解决方案。由于沙箱是对主设备的补充,因此它的故障可能不需要完全关闭处理。
部署和测试
故障打开的另一个实际用途是在新安全设备的初始部署和测试期间。将新设备配置为故障打开使团队能够熟悉操作并了解如何响应警报情况而不会感到不知所措。一旦团队感到有信息,设备就可以切换到故障关闭状态,以实现更大的风险管理。