安全管理人员需要负责提高企业的安全监控、分析、操作和业务支持。他们面临的最大挑战之一是实现更多的效果,特别是面对近期增加的数据泄露风险以及攻击者绕过现有安全控制的能力,作为企业的安全管理人员,他们应该怎么做呢?
通常情况下,安全有效性是由企业阻止已知和未知威胁的能力来衡量。为了防止攻击者利用漏洞来发动攻击,企业通常会依赖于部署安全控制和安全工具。然而,从最近的Target数据泄露事故来看,这不再是有效的可扩展的方法。根据媒体报道,Target不仅部署了常用安全控制,还有高级的安全工具,在接近实时检测到了最初的数据泄露。问题在于,来自其最佳工具的数据没有及时被处理和关联来阻止这个网络历史上最大的第三方数据泄露事故。
Target这样的情况并不少见。很多企业部署了最佳工具,但仍然依赖于手工流程来分析成堆的日志。这也难怪,关键问题没有及时得到解决。根据Verizon 2013年数据泄露调查报告显示,69%的数据泄露是由第三方发现,而不是通过内部资源。需要分析的安全数据的规模已经非常大,非常复杂,难以管理。这可能需要几个月甚至几年来拼凑出一个可操作的视图。
为了处理这些数据,我们必须收集所有必要的数据来分析出高级持续威胁或复杂网络攻击的指标。大数据集可以分析特定行为,但还有一些真正的技术需要克服。
根据Gartner表示,这些数据可以有效检测到高级攻击,并且支持新的业务计划,这些数据在未来五年将会迅速增长,到2016年,企业信息安全企业分析的数据量将会翻一倍。到2016年,40%的企业将会积极分析至少10TB的数据以获取信息安全情报,比2011年减少3%。
因此,尽管安全涉及到大数据,提高安全有效性的第一步是覆盖范围。在过去,很多企业依赖于采样和时间点评估来验证安全控制的存在和效力。鉴于现在安全威胁的速度和复杂性,这种风格的控制保障已经过时。为了提高安全进程,我们需要持续收集和分析相关数据以测试安全控制的有效性。这也是为什么我们看到法律法规中增强了对安全控制连续诊断的要求,例如PCI DSS 3.0、NIST SP 800-137。
除了控制评估的频率,企业需要扩大其覆盖范围,从阻止威胁扩大到包含防止数据泄露。在最后,网络攻击的真正危害在于数据泄露,而不在于漏洞利用。
最后,但并非最不重要的,覆盖范围需要扩展到内部网络和端点之外,应该包含分散的网页内容、社交媒体渠道、移动平台以及第三方基础设施。虽然这提高了安全中大数据的挑战,但网络犯罪并不是单维的,并且需要一个集成的网络安全架构,涵盖网络、终端和安全分析。
这种预防性的积极主动模型是基于互联安全和IT工具,以及持续监控和评估它们产生的数据。这里的目标是实现一个闭环的自动修复的过程。
连续安全监控包括自动化数据分类、技术控制一体化、自动化合规测试、部署评估调查,以及自动化数据的整合。通过利用通用控制框架,企业可以减少重复,提高数据收集以及数据分析的精确度,并减少多余的劳动密集型努力达75%。
这种方法允许提高数据评估的频率(例如每周一次),并需要安全数据自动化,通过从不同来源(例如安全信息和事件管理、资产管理、威胁情报和漏洞扫描程序)聚合和整合数据。其有点事态势感知能力,这可以帮助及时发现漏洞利用和威胁,以及历史趋势数据来帮助预测安全事件。最终,这种模式可以显著提高企业的安全有效性。