将安全团队、过程和技术拧成一股绳的关键是整合。
本文涉及技术领域。在家里,整合案例可能以您拥有的音响系统,或者家居自动化解决方案的形式呈现。无论哪种情况,您都可能进行了广泛的研究,按照自身需求从不同制造商挑选最适合的部件。比如CD播放器、转盘、调谐器、接收器、功放和扬声器。或者智能中心(如亚马逊Echo或谷歌Home)、恒温器、摄像头、门锁、泛光灯、智能家电、智能电视等等。您可能是在使用过程中逐步积累起这些解决方案,而且将来还要添加新的设备,希望各个设备能够无缝互动,交付预期的效果。
安全人员日常工作的环境与之类似。大多数组织机构拥有复杂的安全基础设施,采用多家供应商的多种产品构成多层防御,包括防火墙、IPS/IDS、路由器、Web和电子邮件安全,以及端点检测与响应解决方案。我们还有SIEM和其他工具归集内部威胁及事件数据:工单系统、日志管理存储库、案例管理系统。
过去几年中,转向安全编排、自动化与响应(SOAR)平台及工具的趋势渐长。具体而言,编排和自动化工具定义战术手册和过程;威胁情报平台充当中央存储库,聚合大量内部威胁与事件数据,并以外部全球威胁情报加以丰富,形成便于安全人员理解和排序响应操作的上下文。无论平台类型如何,整合都是将安全团队、过程和技术整合到一个安全架构中,以便提升效率,消除重复性任务,让分析师可以从繁琐任务中解脱出来,专注于更重要的活动。
安全架构需要双向整合。相关重要威胁情报必须流经所有系统、战术手册和过程,令自动化有正确的数据可依。系统和工具必须将数据、事件和已捕获的内容反馈回中央存储库,供其他系统使用。中央存储库也是供学习和改进的组织记忆。
最近,XDR解决方案异军突起,企业战略集团(ESG)将之定义为“跨混合IT架构的整合安全产品套件,旨在协同威胁预防、检测和响应。XDR将控制点、安全遥测、分析和操作整合到一个企业系统中。”由于组织机构都不会是白纸一张,摒弃和替换现有基础设施的意愿很低,统合之路更是困难重重。而且,不同部门的预算和团队不同,使用的解决方案也就各异。因此,采用单一供应商解决方案的决策过程充其量不过是在原地打转。
XDR解决方案不能只在自身产品集中整合,必须在一定时期内(可能是几年)与一系列现有工具和技术整合。与SOAR工具一样,这种整合必须是双向的,这样才能汲取XDR解决方案的全部价值。更重要的是,时间将证明XDR解决方案提供商是否能够保持一流解决方案提供商的创新水平,将资源投注于解决特定用例、新型威胁和新兴威胁载体。
举个例子,疫情爆发以来,围绕新冠病毒的威胁活动层出不穷,在威胁响应中,许多商业威胁情报提供商、政府、开源情报馈送,以及MITER ATT&CK等框架,都提供了针对威胁和疫情爆发的宝贵数据。如何消费所有这些数据是个真正的大挑战,因为很多源都是新型的,没有现成的连接器来将这些馈送接入现有安全基础设施。组织机构的分析师团队都分身乏术,无法手动筛选众多新资源和大量威胁指征,更遑论做出操作响应。他们需要的是能在数小时内编写和部署的定制连接器,这些连接器要能接入任意类型的威胁情报馈送,以便可以从新来源快速提取威胁数据。任何一体化企业系统也需要这种级别的外部整合功能。
别误会,众所周知,复杂性是安全的敌人,而深度防御方法会因碎片化而引入复杂性。但更大、更广泛的解决方案无法独立解决这个问题。想要最大化整体效率,就需要发挥整合的作用。正如您在亚马逊Echo或谷歌Home的使用过程中体会到的,这些智能中心有各自的优势,但仍需保持开放和灵活,因为即使是这种产品,也不应该包揽所有任务。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。