当今攻击活动(多阶攻击及其大量的不断演变的攻击媒介)所带来的重大挑战导致企业为保护网络而购买大量的安全产品。随着新技术的兴起,例如,高级网络和端点、反恶意软件、网络实体的行为分析系统、反欺诈技术、EDR系统等,企业部署了大堆的产品。供应商和服务提供商战战兢兢,担心不能提供特定的产品或服务而容易遭受这种或那种攻击。企业的购买行为继续不断进行,其成本也是水涨船高,而整个平台的有效性却往往不清晰和不完整。
最终,CISO(首席信息安全官)发现,要评估企业安全武库中安全产品的性能是很难的。哪种产品能够成功地确认、减轻发生的攻击?哪种产品不能完成所期望的功能,从而导致企业面临被攻击的危险?哪种产品可能半年前或一年前还有效,却未能进化并解决当前的攻击?哪种产品在何种情况下可被激活,是否正确的选择?也许最重要的问题是,不同的产品能够有效地协同运行吗?
很多CISO每天都要经受无法回答这些问题的失败感。由于其安全平台是由来自很多不同厂商的大量独立产品组成的,因而,发生混乱也不足为奇。CISO常常感觉到自己就像是一位在黑暗中指挥战斗的将军,他想努力看看军队是否正朝着正确的方向前进,设备是否已经为战斗作好准备。这种“在黑暗中的摸索”是一种障碍,在对付当今日益复杂的攻击活动的过程中,企业几乎无法承受这种状态。
在考虑高级自动化、协作、减轻威胁、修复时,首先需要理解企业真正掌握着什么。
关注安全装备是实现透明性的首要一步。这些问题包括:在针对每种安全风险时,企业安全架构中的产品如何有效地完成任务?每种产品或服务的准确率如何? 这些产品真正地满足企业的安全合规需求吗?企业是否可以中止安全设备,以“查看”每种产品在遭受网络攻击时的贡献量和关键程度呢?如果禁用了一种产品,会发生什么?
在回答了这些问题后,我们就可以更好地为企业规划最有效的安全状态。企业不能低估对投资回报的切实影响。每个大中型企业都有可能为大量冗余的过时的或性能低劣的产品和服务花钱。透明性和诊断可以给出明确的答案,可以使企业简化、优化、清理不必要的东西。
有效的诊断工具不仅可以使企业在事后评估产品的有效性,而且有助于针对日后的新攻击做出战略决策。这种诊断系统可以使企业混合和匹配工具,从而可以重放攻击,以查看如何更好地面对攻击,或者映射未来的攻击,试验不同的防御状况,并测试每种防御工具的潜在有效性。
如下方法可以提供高质量的诊断结果:
安全分析系统:如今,多种安全分析解决方案都宣称能够从安全工具中收集所有的安全事件,并可以将这些事件“点”连接起来,从而发现是否有真正的攻击正在发生,将“噪声”从真正有影响的安全事件中分离开来。如果这些系统还能够并真实事件进行分类和解析,以及每个安全厂商的“噪声”,就可以向CISO形象地提供分析工具的有效性。
“杀伤链”的有效性:(“杀伤链”原是一个与攻击结构有关的军事概念,它由攻击确认、火力部署、决策、命令攻击、摧毁目标等阶段组成。最近,有美国的安全机构将“杀伤链”这个概念用于信息安全,作为对计算机网络的入侵进行建模的一种方法。)有些工具在某些类型的攻击手段中表现更好,而在其它方面却无能为力,这是一个行业事实。随着时间的推移,这种现象确实会发生改变。将每个工具产生的安全事件与“杀伤链”的各个阶段联系起来有助于帮助CISO理解每种工具对企业的贡献,确认差距并据以确定工具的优先次序。
“混搭” 模拟:任何CISO的梦想之一就是,能够模拟可以测试各种安全工具和厂商组合的场景,一起协作测试、调查、减轻各类高级攻击,并得到一个“质量评分”,即一个比较不同工具的指数。但,我们还没有实现此目标,但安全协作技术中新出现的领域似乎正在实现此梦想的正确轨道上。
诊断和持续评估是当今企业大量活动中的基本组成部分。分析让我们确切地知道企业网络表现的性能:哪些人访问过、来自哪里、访问了多长时间等。CRM系统使企业在任何时间都能够实时地全面地看到销售过程。但是,在安全领域,企业仍处于黑暗中,为不再需要的大量产品和服务花钱,却不能衡量性能和确定优先权。现在正是我们让安全系统见到光明的时间,我们要将知识、控制重新带回到企业中。实现这个目标意味着一个精简的更高效的安全机制,从而极大地改善在安全上的投资回报。
本文转自d1net(转载)