隨著網(wǎng)絡(luò)威脅的不斷增長(zhǎng)和安全法規(guī)的日益嚴(yán)苛,全球網(wǎng)絡(luò)安全投資規(guī)模不斷創(chuàng)下新高。據(jù)Gartner預(yù)測(cè),2024年全球組織在IT安全和風(fēng)險(xiǎn)管理工具上的投入將達(dá)到2087億美元。
然而,埃森哲(Accenture)的報(bào)告卻顯示,盡管投入巨資,超過(guò)七成(74%)的首席執(zhí)行官對(duì)企業(yè)數(shù)據(jù)安全和網(wǎng)絡(luò)安全態(tài)勢(shì)缺乏信心。
數(shù)據(jù)安全的頭號(hào)難題:安全數(shù)據(jù)孤島
長(zhǎng)期以來(lái),人們普遍認(rèn)為部署的安全解決方案越多,威脅防御能力就越強(qiáng),但現(xiàn)實(shí)往往截然相反。事實(shí)上,五花八門(mén)的安全工具所產(chǎn)生的海量安全數(shù)據(jù)反而成了數(shù)據(jù)安全和網(wǎng)絡(luò)安全的一大挑戰(zhàn),導(dǎo)致企業(yè)陷入被動(dòng)防御的局面。
不斷擴(kuò)大的攻擊面和激增的法規(guī)(例如PCI DSS4.0、NIST、FISMA等)使得安全態(tài)勢(shì)評(píng)估變得更加頻繁,進(jìn)一步刺激了針對(duì)特定攻擊面和漏洞的各類(lèi)安全工具的部署增長(zhǎng)。然而,這些解決方案往往相互孤立,使得安全人員難以識(shí)別關(guān)鍵業(yè)務(wù)領(lǐng)域,評(píng)估漏洞的可利用性以及安全舉措和控制措施的有效性。打破安全數(shù)據(jù)孤島通常需要人工聚合和關(guān)聯(lián)數(shù)據(jù),這會(huì)導(dǎo)致關(guān)鍵問(wèn)題得不到及時(shí)解決。
IBM的2023年數(shù)據(jù)泄露成本報(bào)告顯示,67%的數(shù)據(jù)泄露是由第三方而不是內(nèi)部資源發(fā)現(xiàn)的。歸根結(jié)底,企業(yè)的目標(biāo)是提高檢測(cè)和響應(yīng)速度,縮短攻擊者利用軟件或網(wǎng)絡(luò)配置漏洞的時(shí)間窗口。顯然,雖然企業(yè)坐擁大量安全(工具產(chǎn)生的)數(shù)據(jù)可幫助理解特定攻擊行為的上下文,但仍存在巨大的技術(shù)障礙需要克服。
安全數(shù)據(jù)ETL的局限性
安全監(jiān)控會(huì)產(chǎn)生大量數(shù)據(jù),但這些原始數(shù)據(jù)本身只是實(shí)現(xiàn)目標(biāo)的一種手段。信息安全決策需要基于從安全數(shù)據(jù)中提取的可操作情報(bào)的優(yōu)先級(jí)進(jìn)行分析,這需要將大量安全數(shù)據(jù)與其對(duì)業(yè)務(wù)的重要性和組織風(fēng)險(xiǎn)進(jìn)行關(guān)聯(lián)。
一部分網(wǎng)絡(luò)產(chǎn)品之間已經(jīng)可以相互集成,這主要由廠商驅(qū)動(dòng),有時(shí)也得益于標(biāo)準(zhǔn)化工作。然而,更常見(jiàn)的安全集成方法是通過(guò)安全信息和事件管理(SIEM)解決方案從不同安全產(chǎn)品收集事件信息。然后,安全編排、自動(dòng)化和響應(yīng)(SOAR)平臺(tái)可根據(jù)對(duì)這些事件的分析來(lái)協(xié)調(diào)響應(yīng)。盡管如此,并非所有安全數(shù)據(jù)都能被這些工具所提取,而且被利用的數(shù)據(jù)通常都是狀態(tài)化的。此外,屬性映射和情景化方面的問(wèn)題往往會(huì)導(dǎo)致數(shù)據(jù)質(zhì)量問(wèn)題,進(jìn)而引發(fā)人們對(duì)數(shù)據(jù)可靠性和真實(shí)性的擔(dān)憂。
安全網(wǎng)格的正確打開(kāi)方式
安全網(wǎng)格架構(gòu)(CSMA)的核心價(jià)值是安全工具的聚合與提升。安全人員能為工具建立更多的連接并通過(guò)安全網(wǎng)格間接協(xié)作,相互影響并提升彼此的功能。安全態(tài)勢(shì)可以跨越不同的安全產(chǎn)品,安全威脅情報(bào)也變得更加高效和具有預(yù)測(cè)性。
根據(jù)Gartner的研究,采用安全網(wǎng)格架構(gòu)將安全工具集成到一個(gè)協(xié)作生態(tài)系統(tǒng)中的企業(yè)可以將單個(gè)安全事件的財(cái)務(wù)損失平均降低90%。
但是,如何在不增加太多成本或不徹底改變現(xiàn)有基礎(chǔ)設(shè)施的情況下實(shí)施安全網(wǎng)格呢?
認(rèn)識(shí)到許多企業(yè)在運(yùn)營(yíng)其安全工具方面面臨挑戰(zhàn),新一代安全網(wǎng)格技術(shù)廠商應(yīng)運(yùn)而生(例如Dassana、Avalor、Cribl、Leen、Monad、Tarsal)。他們提供的解決方案可以實(shí)現(xiàn)數(shù)據(jù)的標(biāo)準(zhǔn)化、添加組織上下文,并將數(shù)據(jù)歸屬到其合法所有者。這使得企業(yè)能夠提取關(guān)鍵情報(bào),以縮短補(bǔ)救時(shí)間、提高安全團(tuán)隊(duì)的生產(chǎn)力,并最終增強(qiáng)安全控制的有效性。
在評(píng)估安全網(wǎng)格解決方案廠商時(shí),決策者應(yīng)考慮以下核心選擇標(biāo)準(zhǔn):
1、專(zhuān)業(yè)知識(shí):安全網(wǎng)格是一個(gè)新興的技術(shù)領(lǐng)域,正吸引大量安全廠商入局,因此企業(yè)需要仔細(xì)評(píng)估廠商創(chuàng)始團(tuán)隊(duì)成員和相關(guān)專(zhuān)家的專(zhuān)業(yè)知識(shí)。優(yōu)先選擇那些曾經(jīng)解決過(guò)管理不同安全工具數(shù)據(jù)流挑戰(zhàn),并致力于顛覆安全數(shù)據(jù)ETL(提取、轉(zhuǎn)換、加載)過(guò)程的廠商。
2、安全數(shù)據(jù)的ETL法:要釋放安全網(wǎng)格的巨大潛力,就必須克服傳統(tǒng)ETL流程的限制。檢查廠商解決方案是否將所有數(shù)據(jù)整合到單個(gè)數(shù)據(jù)湖中。一旦完成數(shù)據(jù)整合,單個(gè)API就足以滿足需求,從而大大簡(jiǎn)化運(yùn)維工作。遵循這種方法,安全網(wǎng)格平臺(tái)可以將所有原始數(shù)據(jù)攝取到數(shù)據(jù)湖中,提供諸多優(yōu)勢(shì)并實(shí)現(xiàn)更深入的洞察。這方面最值得關(guān)注的創(chuàng)新點(diǎn)是標(biāo)準(zhǔn)化流程的方法(將其視為內(nèi)容問(wèn)題而非映射問(wèn)題)。
3、價(jià)值實(shí)現(xiàn)時(shí)間:你需要的絕不是另一個(gè)類(lèi)似SIEM的工具,SIEM只負(fù)責(zé)聚合數(shù)據(jù),剩下的繁重工作留給您自己去做。因此,評(píng)估安全網(wǎng)格產(chǎn)品需要重點(diǎn)關(guān)注它是否提供能立刻帶來(lái)價(jià)值的情景化輸出,是否支持用戶利用自助分析來(lái)查詢?nèi)魏螖?shù)據(jù)集,或者更有價(jià)值的是,利用本機(jī)應(yīng)用程序來(lái)解決特定用例(例如,基于風(fēng)險(xiǎn)的漏洞和攻擊面管理、安全KPI和資源規(guī)劃、安全控制有效性管理))。
結(jié)論
傳統(tǒng)網(wǎng)絡(luò)安全方法需要從無(wú)數(shù)安全工具產(chǎn)生的數(shù)據(jù)洪流中提取價(jià)值信息,以加快緩解和修復(fù)速度,提高安全團(tuán)隊(duì)的生產(chǎn)力,并最終增強(qiáng)安全控制的有效性。但是,這種方法通常成本高昂且耗時(shí),而且需要大量定制開(kāi)發(fā)工作。安全網(wǎng)格有望顛覆傳統(tǒng)安全方法并極大提升網(wǎng)絡(luò)安全投資回報(bào)率。