Gartner预计,仅今年全球组织就将在IT安全和风险管理工具上投资2087亿美元。然而,尽管进行了如此重大的投资,埃森哲报告称,74%的首席执行官对其组织的网络安全状况缺乏信心。人们长期以来认为部署更多的安全解决方案将不可避免地增强对威胁的保护,但事实往往与此相反。事实上,管理众多IT安全工具生成的海量数据带来了重大的网络安全挑战,导致组织采取被动而非主动的方法。
不断扩大的攻击面和不断涌现的法规(例如PCI DSS 4.0、NIST、FISMA等)需要更频繁的安全态势评估,从而导致部署无数的安全工具,每个工具都专注于单独的攻击面和向量。然而,这些解决方案通常是孤立的,使得安全从业者很难报告可利用性状况、识别关键业务领域以及展示安全计划和控制的有效性。打破这些孤岛经常需要手动汇总和关联数据,从而导致关键问题无法及时解决。根据IBM的2023年数据泄露成本报告,67%的泄露是由第三方而不是内部资源发现的。最终目标是缩短攻击者利用软件或网络配置缺陷的时间窗口。虽然大数据集可以帮助将特定行为置于背景中,但仍需要克服重大的技术挑战。
![网络安全网格克服数据安全过载]( "网络安全网格克服数据安全过载")
当今安全数据ETL的局限性
虽然安全监控会生成原始形式的大数据,但它仍然只是达到目的的一种手段。信息安全决策应基于从数据中得出的优先、可操作的见解。为了实现这一目标,大安全数据需要与其业务关键性或对组织的风险相关联。
不同产品之间存在特定的集成,通常由供应商驱动或偶尔由标准支持驱动。然而,集成产品的更常见方法是通过安全信息和事件管理(SIEM)解决方案,其中SIEM解决方案从这些产品收集事件。然后,安全编排、自动化和响应(SOAR)平台可以根据这些事件的分析来编排响应。尽管如此,并非所有数据都可以通过这些工具获取,并且利用的数据通常是有状态的。属性映射和上下文化问题通常会导致数据质量问题,引发人们对可靠性和保真度的担忧。
释放网络安全网格的力量
这就是网络安全网状架构(CSMA)发挥作用的地方。它使安全从业人员能够在工具之间建立更多连接,使他们能够通过网络安全网格间接协作,影响彼此的功能。安全态势可以跨越不同的安全产品,安全情报变得更加有效和具有预测性。据Gartner称,采用网络安全网状架构将安全工具集成到合作生态系统中的组织可以将单个安全事件的财务影响平均减少90%。
但是,如何在不产生高昂成本或不需要对现有基础设施进行彻底检修的情况下实施网络安全网格呢?
认识到许多组织都在努力实施其安全工具,新一代的技术供应商(例如Dassana、Avalor、Cribl、Leen、Monad、Tarsal)已经出现,它们提供了一种解决方案,可以标准化数据、添加组织上下文并将数据归因于它的合法所有者。这使组织能够提取重要的见解,以加快修复时间,提高安全团队的工作效率,并最终增强安全控制的有效性。
在评估这些承诺释放网络安全网状架构能力的供应商时,决策者应考虑以下核心选择标准:
·领域专业知识:由于这是一个新兴的技术类别,将吸引许多供应商加入这一行列,因此请针对创始团队成员和相关主题专家的领域专业知识进行尽职调查。与那些过去遇到过管理来自不同安全工具的不同数据流的挑战的人保持一致,并开始重新构想安全数据ETL(提取、转换、加载)过程。
·安全数据ETL方法:要释放网络安全网格的强大功能,您必须克服传统数据摄取、标准化和关联流程的限制。检查供应商是否将所有数据整合到一个数据湖中。数据整合后,单个API就足够了,从而大大简化维护。采用这种方法,该平台现在可以将所有原始数据提取到数据湖中,从而提供众多优势并实现更深入的见解。真正值得关注的创新在于标准化过程的方法,将其视为内容问题而不是映射问题。
·实现价值的时间:您不希望最终得到另一个类似SIEM的工具,该工具只是简单地进行聚合,并将其余繁重的工作留给您。因此,评估供应商是否提供可带来即时价值的情境化输出。您应该能够利用自助分析来查询任何数据集,或者更有价值的是,利用本机应用程序来解决特定用例(例如,基于风险的漏洞和攻击面管理、安全KPI和资源规划、安全控制有效性管理))。
结论
传统上,从无数安全工具产生的数据冲击中提取重要见解,以加快修复时间,提高安全团队的生产力,并最终增强安全控制的有效性,通常既昂贵又耗时需要DIY项目。释放网络安全网格的力量有望克服这些限制并最终带来投资回报。
原文始发于微信公众号(河南等级保护测评):网络安全网格克服数据安全过载
评论