美國(guó)國(guó)家安全局總顧問Glenn Gerstell最近在《紐約時(shí)報(bào)》發(fā)表了一篇評(píng)論文章,描述了美國(guó)在二戰(zhàn)之后開發(fā)的國(guó)家安全系統(tǒng)如何可靠地對(duì)外國(guó)軍事發(fā)展(如發(fā)射導(dǎo)彈以及坦克、飛機(jī)、船只和潛艇的移動(dòng))發(fā)出預(yù)警。并將遙測(cè)數(shù)據(jù)與先進(jìn)的監(jiān)視技術(shù)融合在一起,使美國(guó)對(duì)其安全性和可以應(yīng)對(duì)的突發(fā)事件擁有一定的信心。雖然Gerstell提出了這個(gè)令人信服的論點(diǎn),但事實(shí)已不再如此。Gerstell說,技術(shù)革命已經(jīng)顛覆了美國(guó)國(guó)家安全基礎(chǔ)設(shè)施和機(jī)構(gòu)的運(yùn)行方式。
Gerstell并不是唯一一個(gè)這么思考的美國(guó)官員。美國(guó)中央情報(bào)局代理局長(zhǎng)Joseph Hill也認(rèn)為,網(wǎng)絡(luò)空間是美國(guó)國(guó)家安全最大的弱點(diǎn)。除了政府和軍方之外,美國(guó)安全機(jī)構(gòu)最近對(duì)美國(guó)各種規(guī)模企業(yè)進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)安全是受訪者最關(guān)心的問題。
而美國(guó)在二戰(zhàn)之后戰(zhàn)略取得成功的原因是實(shí)時(shí)整合對(duì)外國(guó)軍事發(fā)展的信息。然而美國(guó)如今過于專注于尋求更好的技術(shù),而不是整合所知道的信息。
是阻止安全漏洞的時(shí)候了
行業(yè)專家與一位首席信息安全官探討如何獲得批準(zhǔn)采購(gòu)15種工具來加強(qiáng)安全操作,但這位首席信息安全官對(duì)融合輸出數(shù)據(jù)集以實(shí)時(shí)了解企業(yè)的可疑活動(dòng)卻知之甚少。
首席信息安全官關(guān)注的焦點(diǎn)應(yīng)該是分析師,他們很難在每天的“貓捉老鼠”游戲中獲勝,并且不堪重負(fù)。分析師在應(yīng)對(duì)大量事件的同時(shí),還需要與過去的所見所聞聯(lián)系起來。而開展這些工作的組織都承認(rèn),這種策略會(huì)產(chǎn)生太多的干擾。太多的工具、大量威脅源以及疲憊不堪的分析師將會(huì)花費(fèi)組織更多的成本,并且降低安全性。當(dāng)行業(yè)組織選擇“工具化”而不是采取有紀(jì)律的管理和融合網(wǎng)絡(luò)情報(bào)的方法時(shí),這種大規(guī)模的戰(zhàn)略變得更加低效并且成本高昂。必須重新制定戰(zhàn)略,將已有的工具結(jié)合起來,以確保自己的安全,而不是尋求獲得更好的技術(shù)和設(shè)備。
如何利用已擁有的東西
組織首先從安全團(tuán)隊(duì)如何處理傳統(tǒng)的安全威脅開始,以將云中的生態(tài)系統(tǒng)組合在一起。通常分為三個(gè)階段。
第一階段。采用云計(jì)算技術(shù)的組織將來自內(nèi)部系統(tǒng)的警報(bào)與外部情報(bào)提供商的警報(bào)融合在一起。這就要求在不中斷分析師工作流程的情況下,很容易將來自現(xiàn)有技術(shù)堆棧(SIEM、EDR、案例管理、編排)的輸出與來自內(nèi)部資源的輸入進(jìn)行整合。
第二階段。在安全相關(guān)活動(dòng)中,除了安全操作外,還有欺詐和濫用。每一種都會(huì)導(dǎo)致組織內(nèi)部和下游公司的安全問題。例如,賬戶接管(ATOs)不僅可以用于組織內(nèi)部的惡意活動(dòng),還可能導(dǎo)致對(duì)手濫用賬戶攻擊他人。
第三階段。組織與其他公司聯(lián)系,交流有關(guān)其常見安全和欺詐挑戰(zhàn)的信息。這正是云計(jì)算技術(shù)擁有顯著優(yōu)勢(shì)的地方,因?yàn)榻M織根據(jù)各種需求選擇合作伙伴,從保護(hù)供應(yīng)鏈到應(yīng)對(duì)行業(yè)內(nèi)部和行業(yè)之間的特定威脅。采用云計(jì)算允許公共機(jī)構(gòu)和私營(yíng)部門相互合作。組織不僅可以共享信息,還可以定義用例,并能夠快速、無縫地交換和分析數(shù)據(jù)。云計(jì)算還使組織能夠在其內(nèi)部獲得洞察力和趨勢(shì),以及與其他公司進(jìn)行比較的方式。
一種新模式:洛杉磯網(wǎng)絡(luò)安全實(shí)驗(yàn)室(LA Cyber??Lab)
很多組織已經(jīng)在轉(zhuǎn)變?yōu)榛谠朴?jì)算的模型,以將其內(nèi)部數(shù)據(jù)與外部威脅信息融合在一起。他們從安全事件管理系統(tǒng)到端點(diǎn)檢測(cè)和案例管理系統(tǒng)再到第三方情報(bào)等各種工具中獲取和豐富網(wǎng)絡(luò)情報(bào)。而成功的平臺(tái)結(jié)合了以下幾種功能:提取和規(guī)范化結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)、權(quán)限和訪問管理、融合和充實(shí)數(shù)據(jù),以及編輯敏感和專有信息。這個(gè)平臺(tái)還必須是可擴(kuò)展的,以便組織可以在單獨(dú)的與安全相關(guān)的操作(例如安全操作中心、欺詐和組織內(nèi)部以及組織之間的內(nèi)部調(diào)查)之間融合數(shù)據(jù)。
洛杉磯市市長(zhǎng)Eric Garcetti在今年9月啟動(dòng)洛杉磯網(wǎng)絡(luò)安全實(shí)驗(yàn)室(LA Cyber??Lab),以融合來自公共和私營(yíng)部門、當(dāng)?shù)厥姓?dāng)局和消費(fèi)者的數(shù)據(jù)。交換可疑事件數(shù)據(jù)將加快調(diào)查速度,識(shí)別趨勢(shì),并最終提高安全性。它得到了洛杉磯市、美國(guó)國(guó)土安全部、IBM、創(chuàng)新技術(shù)平臺(tái),以及洛杉磯一些商業(yè)領(lǐng)袖的支持。
洛杉磯的模式可以被復(fù)制,創(chuàng)造出包含可疑事件的融合數(shù)據(jù)的新生態(tài)系統(tǒng)。領(lǐng)導(dǎo)者應(yīng)該認(rèn)識(shí)到,威脅行為體在各個(gè)部門以及地方、州和聯(lián)邦政府之間制造和復(fù)制襲擊?;诓块T的共享模式仍然很重要,例如信息共享與分析中心(ISAC)和信息共享與分析組織(ISAO)。但洛杉磯的模式不同。當(dāng)人們開始從互聯(lián)系統(tǒng)的角度考慮安全性,而不是在工具和部門之間孤立數(shù)據(jù)時(shí),融合的潛在力量是巨大的。必須整合網(wǎng)絡(luò)情報(bào)系統(tǒng),以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊環(huán)境的全面可見性。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。