开源安全软件的一个令人惊叹的时刻是,当您确定需要该功能并希望将其利用率扩展到最初的一小群用户之外,但意识到部署它以在整个基础设施中进行检测、调查和响应时,需要花费大量时间。桥太远了。事实证明,开源软件在某种程度上是好的,但它确实不是“免费的”。要为企业提升其可扩展性、性能、可管理性和支持,需要大量的资源和成本,而我们期望从安全解决方案库中的核心平台获得这些功能。为了进一步探讨这一点,我们以威胁情报平台为例。
开源威胁情报平台有多种选项,允许存储并与其他用户共享危害指标 (IoC)。每个工具都有其自己的实用性。然而,当您查看组织面临的全部威胁以及检测和响应威胁所需的不同团队、工作流程和工具时,当您尝试更广泛地使用它作为平台时,您可能会开始遇到限制。
1.可扩展性:对于威胁情报来说,数据是一个巨大的挑战,威胁情报由安全架构中每一层创建的内部遥测、内容和数据组成,而分析师每天都会受到数百万个外部威胁数据点的轰炸。除了开源源之外,组织还订阅商业、政府、行业和现有安全供应商等来源,以及 MITRE ATT&CK 等框架。从不同来源引入、存储和理解不同格式和语言的数据需要能力和专业知识。除非该平台已为企业做好准备,否则人们必须成为集成和规范数据以使其在整个企业中可用的专家。
此外,随着数据源的更新和新源的添加,有责任持续管理集成。开源社区中可能有资源可以提供帮助,但不能保证它们的可用性和响应能力能够满足您的需求。
2. 性能:将所有数据聚合在一个中央平台中非常棒。但如果查询需要五分钟或更长时间,那么该数据就不是很有用。当您寻找威胁或调查事件时,速度和响应能力至关重要。现在将威胁情报的使用情况推断到您的工作流程中;如果有五个步骤,并且每个步骤需要五分钟才能完成,则队列将变得难以维持。如果基础设施无法以适当的速度摄取、查询、翻译情报并采取行动,那么它并不能真正帮助简化工作流程并提高安全性。
3. 管理:退后一步,将平台视为安全运营的中心,很明显,企业级管理功能也很重要。除了用于集成的行业标准接口之外,该平台还应包括广泛的预构建集成生态系统以及易于使用的 API 来添加其他集成。
软件开发套件 (SDK) 和低代码/无代码界面提供了灵活性,因此具有不同技能的团队可以自定义仪表板、可视化和配置功能,以与其工作流程和流程保持一致。企业级威胁情报平台可以为用户管理和丰富威胁情报,以便他们能够无缝操作数据并快速获取价值。
4.可支持性:最后,如果您要将一个平台放入生产环境中,您需要在出现问题时可以致电的人。任何故障都可能影响比该解决方案更大的影响,因为安全基础设施现在是高度集成的。当您无法在正确的时间向正确的团队和工具获取正确的数据时,威胁搜寻、调查和事件响应手册可能会陷入停滞。在 SLA 的支持下,有人可以打电话给您,让您安心地将系统投入生产。
培训和认证也很重要。让用户快速上手,在人员流动或团队成长时简化入职培训,并鼓励使用更高级的功能,为成功铺平道路。更不用说,您成为其他企业客户社区的一部分,他们与您一样对选择产品有严格的要求。通过扩展,您有机会与这些同行分享威胁情报、最佳实践和关键经验。
当谈到网络安全产品时,这不是开源或企业就绪的问题。两者都是。开源是测试水域和定义需求的好方法。但是,在考虑将平台投入生产时,企业级解决方案将确保您能够满足当前和未来的业务需求,并且总体拥有成本较低。
原文始发于微信公众号(祺印说信安):从开源到企业就绪满足安全要求的4个支柱
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论