隨著網(wǎng)絡(luò)安全挑戰(zhàn)的不斷增長,企業(yè)需要不斷應(yīng)用新的安全工具和服務(wù)來應(yīng)對安全威脅。一個(gè)關(guān)鍵的考量因素是,如何將這些產(chǎn)品(許多情況下由不同的供應(yīng)商提供)的安全能力整合起來,實(shí)現(xiàn)整體化的安全運(yùn)營與防護(hù),以支持安全部門統(tǒng)一連貫的安全戰(zhàn)略。
遷移到云使安全整合變得容易了一點(diǎn),但如果組織試圖打造強(qiáng)有力的系統(tǒng)來防范最新的威脅,可能仍然面臨重重障礙。以下是企業(yè)在實(shí)現(xiàn)單點(diǎn)網(wǎng)絡(luò)安全能力融合時(shí),可能會(huì)面臨的7重挑戰(zhàn),以及如何有效地克服這些挑戰(zhàn)。
1.安全能力碎片化
一個(gè)常見的安全整合問題源于網(wǎng)絡(luò)安全是個(gè)碎片化發(fā)展嚴(yán)重的行業(yè),許多企業(yè)都部署了過多的安全產(chǎn)品和服務(wù)。IBM Security的產(chǎn)品管理副總裁Chris Meenan說:“大量不同的安全工具以及彼此之間缺乏互操作性是當(dāng)今網(wǎng)絡(luò)安全運(yùn)營面臨的最大挑戰(zhàn)之一。每種新的安全工具都必須與其他數(shù)十種安全工具整合,因而帶來了大量的定制集成,管理工作量相當(dāng)大。”
埃森哲安全全球董事總經(jīng)理Kelly Bissell表示,如今市場上有成千上萬的網(wǎng)絡(luò)安全工具,特性和功能各異。無論經(jīng)驗(yàn)水平如何,任何安全領(lǐng)導(dǎo)者在為公司做出正確的安全選擇時(shí)都很容易不知所措。
結(jié)果常常是企業(yè)安全基礎(chǔ)設(shè)施由數(shù)十種甚至上百種不同的工具拼湊而成。如果引入新工具,但無法與其他平臺(tái)或安全工具協(xié)同使用,就更難切實(shí)了解真實(shí)的威脅情況了。為此,組織需要進(jìn)行一番清理,規(guī)范或整合網(wǎng)絡(luò)安全工具。他們還應(yīng)該選擇幾家核心供應(yīng)商,砍掉其他供應(yīng)商,最大限度地提升核心供應(yīng)商的價(jià)值。這將節(jié)省許可和整合成本,同時(shí)簡化IT環(huán)境。
2.安全產(chǎn)品標(biāo)準(zhǔn)化不足
Meenan表示,如今市面上的許多安全工具使用專有接口和數(shù)據(jù)交換語言。雖然現(xiàn)在許多企業(yè)提供開放式應(yīng)用程序編程接口(API),但這些API不一定遵循相同的標(biāo)準(zhǔn),因此仍需要特定的自定義代碼來整合產(chǎn)品。此外,數(shù)據(jù)交換語言也沒有標(biāo)準(zhǔn)化。
Meenan表示,多個(gè)安全社區(qū)正在努力解決這個(gè)互操作性問題,致力于開發(fā)更通用的數(shù)據(jù)模型、開放標(biāo)準(zhǔn)和開源工具,這些工具可在眾多供應(yīng)商和工具集當(dāng)中通用。如果依賴通用API和數(shù)據(jù)模型,安全團(tuán)隊(duì)就能夠更輕松地將一種工具換成另一種工具,最終更容易添加新工具,并緩解供應(yīng)商鎖定問題。
這種社區(qū)合作取得成效的一個(gè)典例是開放網(wǎng)絡(luò)安全聯(lián)盟(OCA)。這是一個(gè)跨行業(yè)的組織,由供應(yīng)商、消費(fèi)者和非營利組織組成,采用開放治理模式,致力于利用開源和開放標(biāo)準(zhǔn)來增強(qiáng)網(wǎng)絡(luò)安全互操作性。
開放網(wǎng)絡(luò)安全聯(lián)盟之類的組織旨在將來自更廣泛的安全社區(qū)參與者聚集在一起,以開放透明的方式幫助定義這些標(biāo)準(zhǔn),社區(qū)負(fù)責(zé)開發(fā)、審核和反饋。許多公司現(xiàn)在可以開始關(guān)注基于開源工具和標(biāo)準(zhǔn)的軟件,以減輕現(xiàn)在和將來在安全整合方面的負(fù)擔(dān)。
3.應(yīng)用環(huán)境復(fù)雜
網(wǎng)絡(luò)安全專家Eric Cole是Secure Anchor Consulting的創(chuàng)始人兼首席執(zhí)行官,他表示,安全工具常常需要通過訪問系統(tǒng)或獲取到網(wǎng)絡(luò)流量才能正常使用,而添加新工具可能導(dǎo)致現(xiàn)有工具停止工作。這基于這樣一個(gè)前提:安裝新工具時(shí),它們常常進(jìn)行更改,比如刪除或上傳文件、驅(qū)動(dòng)程序和注冊表項(xiàng),而這些配置常常由以前安裝的工具使用。這個(gè)問題主要出現(xiàn)在端點(diǎn)安全工具或必須直接安裝到系統(tǒng)上的工具中。
Cole表示,對于通過網(wǎng)絡(luò)部署的安全設(shè)備,問題相對不大。面對必須在本地安裝的基于主機(jī)或服務(wù)器的工具,組織應(yīng)堅(jiān)持使用單一供應(yīng)商套件或工具,以便最大限度地避免影響另外供應(yīng)商的安全工具。
4.網(wǎng)絡(luò)可見性有限
Cole表示,較新的安全工具專注于構(gòu)建行為模型,以便更深入地了解網(wǎng)絡(luò)流量和行為,并使用這些信息來檢測異?;顒?dòng)。這些模型要達(dá)到效果,必須檢查和分析所有網(wǎng)絡(luò)流量。如果工具只看到一部分流量,模型就不會(huì)準(zhǔn)確或有效。這個(gè)問題主要出現(xiàn)在網(wǎng)絡(luò)設(shè)備上,但如果在現(xiàn)有技術(shù)的前面安裝新的網(wǎng)絡(luò)設(shè)備,它可能會(huì)阻塞流量,并影響現(xiàn)有系統(tǒng)的可見性。如果新設(shè)備安裝在現(xiàn)有設(shè)備的后面,獲取的信息又很有限,毫無成效可言。
解決辦法是為每個(gè)虛擬局域網(wǎng)或網(wǎng)段實(shí)施網(wǎng)絡(luò)工具,這樣一個(gè)工具就可以全面了解它所保護(hù)的那部分網(wǎng)絡(luò)。
5.告警事件誤報(bào)率增加
Cole表示,新的安全工具往往更專注于檢測攻擊,而不是專注于提供準(zhǔn)確可靠的信息。因此,當(dāng)多種安全工具整合后,需要對不同廠商設(shè)備的告警信息集中分析,這將增加安全人員的工作量,并增加誤報(bào)總數(shù)。解決辦法是,管理團(tuán)隊(duì)需要利用先進(jìn)的安全事件和事件管理系統(tǒng),并關(guān)聯(lián)來自多個(gè)來源的數(shù)據(jù),通過大數(shù)據(jù)和人工智能技術(shù),實(shí)現(xiàn)海量報(bào)警的集中分析與快速響應(yīng)。
6.預(yù)期目標(biāo)不合理
安全公司Optiv首席信息安全官Brian Wrozek表示,安全供應(yīng)商通常會(huì)美化其產(chǎn)品的集成功能,或者沒有提及為達(dá)到所聲稱的結(jié)果必須具備的所有其他先決條件。這反過來會(huì)導(dǎo)致企業(yè)領(lǐng)導(dǎo)者為安全團(tuán)隊(duì)設(shè)定無法滿足的整合預(yù)期目標(biāo)。
Wrozek表示,相比安全防護(hù)類產(chǎn)品,企業(yè)的領(lǐng)導(dǎo)者更熟悉和業(yè)務(wù)相關(guān)的應(yīng)用程序。他們知道使用Salesforce或Zoom等應(yīng)用程序可以得到什么,但不知道使用云訪問安全代理(CASB)、態(tài)勢感知、SOC平臺(tái)可以得到什么。因此,安全運(yùn)營團(tuán)隊(duì)有必要讓企業(yè)領(lǐng)導(dǎo)者更好地了解安全整合方案的種種限制和挑戰(zhàn),而不是一味強(qiáng)調(diào)整合的好處。
7.專業(yè)安全人才缺乏
任何安全領(lǐng)導(dǎo)者都知道專業(yè)人才缺失這個(gè)問題對于企業(yè)實(shí)現(xiàn)穩(wěn)定安全運(yùn)營來說有多嚴(yán)重。幾乎在安全領(lǐng)域的各個(gè)方面,人才需求都遠(yuǎn)大于供應(yīng)。這包括整合各種安全工具和服務(wù)所需要的技能。Bissell表示,目前的一大挑戰(zhàn)是缺少這種訓(xùn)練有素的員工:他們能夠管理整合安全工具的工作,并確定需要采取什么樣的行動(dòng)。組織擁有的工具越多,越需要時(shí)間和專業(yè)知識(shí),這常常很耗費(fèi)資源。