通过大量企业的联合安全运营,建立成熟的安全机制已成为可能。
在1440年前后古腾堡发明了 印刷时。此前,因为只能通过手抄,书籍特别昂贵。印刷机的发明则使书籍的大规模生产成为了可能,从而大大降低了书籍的成本。换句话说,书本不再是只有少数的精英人士专享的奢侈品。文字的奥秘向普通人敞开了大门。
然而这对安全领域有何教益呢?让我们一探究竟。
让人一次次感到意外的是,尽管企业都知道安全机制脆弱会带来的负面影响,然而很少有企业能建立成熟的安全体系,而这本应是刻不容缓的。大家知道,在安全领域没有什么比安全运营和事件反应这两项能力更重要的了。你可能不会对现在的安全态势感到惊奇,却一定会因这种态势的成因而诧异。
实际上,主要的问题不在于缺乏认识。当然,总会有人或组织不能理解通过各种战略途径降低风险的迫切性,这些途径中包括安全运营和事件反应。虽然有时确实会遇到这种情况,然而总的来说,是另一个完全不同的情况。
许多人和组织都非常了解实行安全运营和事件反应的需要。他们知道需要企业和云环境的可视性,以及需要优先考虑风险和威胁。他们知道需要根据所面临的特定风险和威胁,来为认证行为建立深层次的、有针对性的、高保真的警戒。他们知道需要在合理的时间、合理的环境下管理、优化和丰富他们的工作队列。他们知道他们最终需要在处理某一案例时做出富有经验、了解情况的决策,来决定何种行为是可取或不可取的。他们也知道需要需要企业和云环境中的响应能力。
既然他们知道以上种种,为什么他们为什么不采取必需的行动呢?不幸的是,答案很简单:钱。相比于较大的企业,尽管许多员工不过万的企业面临着同样的风险和威胁,他们很少有同等的预算来解决这些问题。但是,为什么仅仅预算这一项就能阻碍企业建立成熟的安全态势?让我们进一步分析。
为了更好地理解为什么预算可以成为如此大的挑战,让我们看看构建一个成熟的安全运营和事件响应机制的最基本要求的列表:
- 项目和流程
- 专业员工
- 智能
- 网络的可视性
- 各端点的可视性
- 云的可视性
- 应用级别的可视性
- 对安全信息和事件的管理(SIEM)
- 案例管理(标签化)
- 高保真、低干扰的预警
- 用于触发报警的证据/数据
- 调查和取证能力
- 分析
- 指标
- 汇报
- 响应能力
这个列表还有许许多多可以罗列的,这里列出的并不是全貌。这个列表只是为了说明两个要点:
1. 要建立包含有强效的安全运营和事件响应机制的成熟安全态势,需要项目和技术这些不同系统的员工通力合作,以及对系统的使用的理解。
2. 要建立包含有强效的安全运营和事件响应机制的成熟安全态势,需要高额的投资时间和金钱成本,这是大多数组织所经受不起的。
有鉴于此,我们完全可以预料到,除了那些最出类拔萃的企业,没有企业建立了成熟的安全态势。若果你非要问该怎样做,那好吧,尽力而为吧。安全运营是时候向印刷术学习了。是时候通过大量企业的联合安全运营,来使建立成熟的安全机制成为可能。
绝大多数非精英组织所需要的是一种于安全服务商完全不同的思维和解决方案。云服务,因其成本优势,开辟了全新的图景。设想一下,一个涵盖上述所有功能的端到端的平台——只要你愿意,完全可以有“黑箱化的安全运营”。所有的这些功能都将通过低成本的云服务和虚拟的软件映像来提供给企业,但这本身也需要成本。这种开拓性的解决方案也需要收取合理的月费,这笔费用与其所省去的大笔前端成本相比是微不足道的。
对于某些渴望更好的选择的读者而言,这种解决方案听起来像是只存在于遥远的未来。对于此类读者,我想说,我们距离印刷术一样的大规模的安全运营的时代并非你们想得那么远。安全运营的成本下降速度可能比你所想的更快。这个时代已经揭开一角。