CISO:你真的了解你的企業(yè)安全架構(gòu)嗎?

責(zé)任編輯:editor005

作者:趙長(zhǎng)林

2017-06-21 14:30:56

摘自:TechTarget中國(guó)

當(dāng)今攻擊活動(dòng)(多階攻擊及其大量的不斷演變的攻擊媒介)所帶來(lái)的重大挑戰(zhàn)導(dǎo)致企業(yè)為保護(hù)網(wǎng)絡(luò)而購(gòu)買(mǎi)大量的安全產(chǎn)品。“殺傷鏈”的有效性:(“殺傷鏈”原是一個(gè)與攻擊結(jié)構(gòu)有關(guān)的軍事概念,它由攻擊確認(rèn)、火力部署、決策、命令攻擊、摧毀目標(biāo)等階段組成。

當(dāng)今攻擊活動(dòng)(多階攻擊及其大量的不斷演變的攻擊媒介)所帶來(lái)的重大挑戰(zhàn)導(dǎo)致企業(yè)為保護(hù)網(wǎng)絡(luò)而購(gòu)買(mǎi)大量的安全產(chǎn)品。隨著新技術(shù)的興起,例如,高級(jí)網(wǎng)絡(luò)和端點(diǎn)、反惡意軟件、網(wǎng)絡(luò)實(shí)體的行為分析系統(tǒng)、反欺詐技術(shù)、EDR系統(tǒng)等,企業(yè)部署了大堆的產(chǎn)品。供應(yīng)商和服務(wù)提供商戰(zhàn)戰(zhàn)兢兢,擔(dān)心不能提供特定的產(chǎn)品或服務(wù)而容易遭受這種或那種攻擊。企業(yè)的購(gòu)買(mǎi)行為繼續(xù)不斷進(jìn)行,其成本也是水漲船高,而整個(gè)平臺(tái)的有效性卻往往不清晰和不完整。

最終,CISO(首席信息安全官)發(fā)現(xiàn),要評(píng)估企業(yè)安全武庫(kù)中安全產(chǎn)品的性能是很難的。哪種產(chǎn)品能夠成功地確認(rèn)、減輕發(fā)生的攻擊?哪種產(chǎn)品不能完成所期望的功能,從而導(dǎo)致企業(yè)面臨被攻擊的危險(xiǎn)?哪種產(chǎn)品可能半年前或一年前還有效,卻未能進(jìn)化并解決當(dāng)前的攻擊?哪種產(chǎn)品在何種情況下可被激活,是否正確的選擇?也許最重要的問(wèn)題是,不同的產(chǎn)品能夠有效地協(xié)同運(yùn)行嗎?

很多CISO每天都要經(jīng)受無(wú)法回答這些問(wèn)題的失敗感。由于其安全平臺(tái)是由來(lái)自很多不同廠商的大量獨(dú)立產(chǎn)品組成的,因而,發(fā)生混亂也不足為奇。CISO常常感覺(jué)到自己就像是一位在黑暗中指揮戰(zhàn)斗的將軍,他想努力看看軍隊(duì)是否正朝著正確的方向前進(jìn),設(shè)備是否已經(jīng)為戰(zhàn)斗作好準(zhǔn)備。這種“在黑暗中的摸索”是一種障礙,在對(duì)付當(dāng)今日益復(fù)雜的攻擊活動(dòng)的過(guò)程中,企業(yè)幾乎無(wú)法承受這種狀態(tài)。

在考慮高級(jí)自動(dòng)化、協(xié)作、減輕威脅、修復(fù)時(shí),首先需要理解企業(yè)真正掌握著什么。

關(guān)注安全裝備是實(shí)現(xiàn)透明性的首要一步。這些問(wèn)題包括:在針對(duì)每種安全風(fēng)險(xiǎn)時(shí),企業(yè)安全架構(gòu)中的產(chǎn)品如何有效地完成任務(wù)?每種產(chǎn)品或服務(wù)的準(zhǔn)確率如何? 這些產(chǎn)品真正地滿足企業(yè)的安全合規(guī)需求嗎?企業(yè)是否可以中止安全設(shè)備,以“查看”每種產(chǎn)品在遭受網(wǎng)絡(luò)攻擊時(shí)的貢獻(xiàn)量和關(guān)鍵程度呢?如果禁用了一種產(chǎn)品,會(huì)發(fā)生什么?

在回答了這些問(wèn)題后,我們就可以更好地為企業(yè)規(guī)劃最有效的安全狀態(tài)。企業(yè)不能低估對(duì)投資回報(bào)的切實(shí)影響。每個(gè)大中型企業(yè)都有可能為大量冗余的過(guò)時(shí)的或性能低劣的產(chǎn)品和服務(wù)花錢(qián)。透明性和診斷可以給出明確的答案,可以使企業(yè)簡(jiǎn)化、優(yōu)化、清理不必要的東西。

有效的診斷工具不僅可以使企業(yè)在事后評(píng)估產(chǎn)品的有效性,而且有助于針對(duì)日后的新攻擊做出戰(zhàn)略決策。這種診斷系統(tǒng)可以使企業(yè)混合和匹配工具,從而可以重放攻擊,以查看如何更好地面對(duì)攻擊,或者映射未來(lái)的攻擊,試驗(yàn)不同的防御狀況,并測(cè)試每種防御工具的潛在有效性。

如下方法可以提供高質(zhì)量的診斷結(jié)果:

安全分析系統(tǒng):如今,多種安全分析解決方案都宣稱(chēng)能夠從安全工具中收集所有的安全事件,并可以將這些事件“點(diǎn)”連接起來(lái),從而發(fā)現(xiàn)是否有真正的攻擊正在發(fā)生,將“噪聲”從真正有影響的安全事件中分離開(kāi)來(lái)。如果這些系統(tǒng)還能夠并真實(shí)事件進(jìn)行分類(lèi)和解析,以及每個(gè)安全廠商的“噪聲”,就可以向CISO形象地提供分析工具的有效性。

“殺傷鏈”的有效性:(“殺傷鏈”原是一個(gè)與攻擊結(jié)構(gòu)有關(guān)的軍事概念,它由攻擊確認(rèn)、火力部署、決策、命令攻擊、摧毀目標(biāo)等階段組成。最近,有美國(guó)的安全機(jī)構(gòu)將“殺傷鏈”這個(gè)概念用于信息安全,作為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵進(jìn)行建模的一種方法。)有些工具在某些類(lèi)型的攻擊手段中表現(xiàn)更好,而在其它方面卻無(wú)能為力,這是一個(gè)行業(yè)事實(shí)。隨著時(shí)間的推移,這種現(xiàn)象確實(shí)會(huì)發(fā)生改變。將每個(gè)工具產(chǎn)生的安全事件與“殺傷鏈”的各個(gè)階段聯(lián)系起來(lái)有助于幫助CISO理解每種工具對(duì)企業(yè)的貢獻(xiàn),確認(rèn)差距并據(jù)以確定工具的優(yōu)先次序。

“混搭” 模擬:任何CISO的夢(mèng)想之一就是,能夠模擬可以測(cè)試各種安全工具和廠商組合的場(chǎng)景,一起協(xié)作測(cè)試、調(diào)查、減輕各類(lèi)高級(jí)攻擊,并得到一個(gè)“質(zhì)量評(píng)分”,即一個(gè)比較不同工具的指數(shù)。但,我們還沒(méi)有實(shí)現(xiàn)此目標(biāo),但安全協(xié)作技術(shù)中新出現(xiàn)的領(lǐng)域似乎正在實(shí)現(xiàn)此夢(mèng)想的正確軌道上。

診斷和持續(xù)評(píng)估是當(dāng)今企業(yè)大量活動(dòng)中的基本組成部分。分析讓我們確切地知道企業(yè)網(wǎng)絡(luò)表現(xiàn)的性能:哪些人訪問(wèn)過(guò)、來(lái)自哪里、訪問(wèn)了多長(zhǎng)時(shí)間等。CRM系統(tǒng)使企業(yè)在任何時(shí)間都能夠?qū)崟r(shí)地全面地看到銷(xiāo)售過(guò)程。但是,在安全領(lǐng)域,企業(yè)仍處于黑暗中,為不再需要的大量產(chǎn)品和服務(wù)花錢(qián),卻不能衡量性能和確定優(yōu)先權(quán)?,F(xiàn)在正是我們讓安全系統(tǒng)見(jiàn)到光明的時(shí)間,我們要將知識(shí)、控制重新帶回到企業(yè)中。實(shí)現(xiàn)這個(gè)目標(biāo)意味著一個(gè)精簡(jiǎn)的更高效的安全機(jī)制,從而極大地改善在安全上的投資回報(bào)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)