安全管理注意事項
考慮一下數(shù)據(jù)的安全保護,這個想法很明確:對事件響應(yīng)的任何方面的改進使其過程更加高效。例如,團隊發(fā)現(xiàn)漏洞的速度越快,修補漏洞的速度就越快。
然而,威脅檢測通常是復(fù)雜的。能夠?qū)⑹录喕癁楦鼫蚀_的敘述并發(fā)現(xiàn)根本原因至關(guān)重要。找出網(wǎng)絡(luò)攻擊已進入網(wǎng)絡(luò)的位置以及攻擊的目標(biāo)成為解決問題的關(guān)鍵。
畢竟,補救的技巧不僅僅是解決問題。它還涉及發(fā)現(xiàn)哪些資產(chǎn)必須首先受到保護,以及往返于網(wǎng)絡(luò)的哪些路徑風(fēng)險最大。
IT系統(tǒng)的哪些部分更容易受到威脅?
風(fēng)險包括以下部分:
•與內(nèi)部部署計算機和資產(chǎn)相比,面向公共互聯(lián)網(wǎng)的設(shè)備面臨的風(fēng)險要大得多。深入了解Web服務(wù)器比保護打印服務(wù)器更重要。
•與可以由威脅參與者觀察和訪問的文件相比,可以編輯、破壞或更改的文件類型面臨的風(fēng)險更大。
•如果文件離開網(wǎng)絡(luò),安全操作團隊必須防止泄漏。
•該平臺應(yīng)能夠確定用戶是否有權(quán)訪問特定數(shù)據(jù)。
網(wǎng)絡(luò)本身的概念正在發(fā)生變化。也許十年前,安全團隊可以將關(guān)鍵資產(chǎn)隱藏在內(nèi)部部署防火墻后面,而網(wǎng)絡(luò)架構(gòu)是扁平的?,F(xiàn)在已經(jīng)不是這種情況。網(wǎng)絡(luò)由私有云和公共云組成(通常不止一個公共云)。工作負載存在于容器、移動用戶和物聯(lián)網(wǎng)(IoT)設(shè)備中。雖然網(wǎng)絡(luò)變得越來越復(fù)雜,但安全人員仍然有著相同的目標(biāo)。因此,現(xiàn)代方法可以在更復(fù)雜的環(huán)境中提供更精簡的管理和工作流。
安全管理需要強大的平臺
先進的網(wǎng)絡(luò)安全平臺必須是云原生的,但不僅限于軟件即服務(wù)(SaaS)。該平臺應(yīng)足夠靈活,可以在所有者選擇的地方進行部署。這可能是內(nèi)部部署、公共云或私有云或混合云架構(gòu)。允許云計算、多租戶、遠程存儲、搜索的中心有利位置、更好的南北入口/出口以及使用公共云基礎(chǔ)設(shè)施即服務(wù)(IaaS)連接多個設(shè)備的可能性。靈活的架構(gòu)還支持具有混合環(huán)境的組,包括多個云計算和內(nèi)部部署解決方案。
新的工具和遠程工作的轉(zhuǎn)變意味著這個領(lǐng)域變化很快。
良好的安全管理平臺的要素
安全管理平臺必須與供應(yīng)商無關(guān)。對于任何產(chǎn)品供應(yīng)商來說,這似乎都是一項艱巨的任務(wù)。但是,供應(yīng)商必須為客戶尋求最佳結(jié)果。最終用戶不希望被供應(yīng)商鎖定,任何工具或平臺的一個關(guān)鍵功能是無需“翻新和替換”現(xiàn)有工具。
該平臺還應(yīng)包括數(shù)據(jù)丟失統(tǒng)計信息和文件完整性管理,還要采用可以防止數(shù)據(jù)被不正確的訪問或混淆的工具。
良好的平臺應(yīng)該在分析人員考慮調(diào)查之前就會管理和驗證平臺內(nèi)警報的質(zhì)量。智能平臺應(yīng)該是來自SIEM工具、端點、防火墻、威脅情報工具和其他軟件的數(shù)據(jù)的中樞神經(jīng)系統(tǒng)。
管理虛假警報
但是,有些工具并不是用戶所需要的。這些工具通常會標(biāo)記基于正常網(wǎng)絡(luò)條件(例如新配置、操作系統(tǒng)和軟件升級等)的更改。平臺需要清除微弱的信號并關(guān)聯(lián)更強的警報。
此外,該平臺將確保將事件響應(yīng)過程直接與工作流聯(lián)系在一起。例如,當(dāng)分析人員研究特定的惡意軟件時,儀表板應(yīng)提示有關(guān)惡意軟件類型的已知信息。此外,規(guī)劃對分析師也很有幫助,提示下一步該做什么以及從哪里開始解決問題。畢竟,一切能讓工作更有效率的東西都很重要。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。