行业专家指出,融合输出数据集和共享信息可以实时了解企业中的可疑活动。
美国国家安全局总顾问Glenn Gerstell最近在《纽约时报》发表了一篇评论文章,描述了美国在二战之后开发的国家安全系统如何可靠地对外国军事发展(如发射导弹以及坦克、飞机、船只和潜艇的移动)发出预警。并将遥测数据与先进的监视技术融合在一起,使美国对其安全性和可以应对的突发事件拥有一定的信心。虽然Gerstell提出了这个令人信服的论点,但事实已不再如此。Gerstell说,技术革命已经颠覆了美国国家安全基础设施和机构的运行方式。
Gerstell并不是唯一一个这么思考的美国官员。美国中央情报局代理局长Joseph Hill也认为,网络空间是美国国家安全最大的弱点。除了政府和军方之外,美国安全机构最近对美国各种规模企业进行的一项调查发现,网络安全是受访者最关心的问题。
而美国在二战之后战略取得成功的原因是实时整合对外国军事发展的信息。然而美国如今过于专注于寻求更好的技术,而不是整合所知道的信息。
是阻止安全漏洞的时候了
行业专家与一位首席信息安全官探讨如何获得批准采购15种工具来加强安全操作,但这位首席信息安全官对融合输出数据集以实时了解企业的可疑活动却知之甚少。
首席信息安全官关注的焦点应该是分析师,他们很难在每天的“猫捉老鼠”游戏中获胜,并且不堪重负。分析师在应对大量事件的同时,还需要与过去的所见所闻联系起来。而开展这些工作的组织都承认,这种策略会产生太多的干扰。太多的工具、大量威胁源以及疲惫不堪的分析师将会花费组织更多的成本,并且降低安全性。当行业组织选择“工具化”而不是采取有纪律的管理和融合网络情报的方法时,这种大规模的战略变得更加低效并且成本高昂。必须重新制定战略,将已有的工具结合起来,以确保自己的安全,而不是寻求获得更好的技术和设备。
如何利用已拥有的东西
组织首先从安全团队如何处理传统的安全威胁开始,以将云中的生态系统组合在一起。通常分为三个阶段。
第一阶段。采用云计算技术的组织将来自内部系统的警报与外部情报提供商的警报融合在一起。这就要求在不中断分析师工作流程的情况下,很容易将来自现有技术堆栈(SIEM、EDR、案例管理、编排)的输出与来自内部资源的输入进行整合。
第二阶段。在安全相关活动中,除了安全操作外,还有欺诈和滥用。每一种都会导致组织内部和下游公司的安全问题。例如,账户接管(ATOs)不仅可以用于组织内部的恶意活动,还可能导致对手滥用账户攻击他人。
第三阶段。组织与其他公司联系,交流有关其常见安全和欺诈挑战的信息。这正是云计算技术拥有显著优势的地方,因为组织根据各种需求选择合作伙伴,从保护供应链到应对行业内部和行业之间的特定威胁。采用云计算允许公共机构和私营部门相互合作。组织不仅可以共享信息,还可以定义用例,并能够快速、无缝地交换和分析数据。云计算还使组织能够在其内部获得洞察力和趋势,以及与其他公司进行比较的方式。
一种新模式:洛杉矶网络安全实验室(LA CyberLab)
很多组织已经在转变为基于云计算的模型,以将其内部数据与外部威胁信息融合在一起。他们从安全事件管理系统到端点检测和案例管理系统再到第三方情报等各种工具中获取和丰富网络情报。而成功的平台结合了以下几种功能:提取和规范化结构化和非结构化数据、权限和访问管理、融合和充实数据,以及编辑敏感和专有信息。这个平台还必须是可扩展的,以便组织可以在单独的与安全相关的操作(例如安全操作中心、欺诈和组织内部以及组织之间的内部调查)之间融合数据。
洛杉矶市市长Eric Garcetti在今年9月启动洛杉矶网络安全实验室(LA CyberLab),以融合来自公共和私营部门、当地市政当局和消费者的数据。交换可疑事件数据将加快调查速度,识别趋势,并最终提高安全性。它得到了洛杉矶市、美国国土安全部、IBM、创新技术平台,以及洛杉矶一些商业领袖的支持。
洛杉矶的模式可以被复制,创造出包含可疑事件的融合数据的新生态系统。领导者应该认识到,威胁行为体在各个部门以及地方、州和联邦政府之间制造和复制袭击。基于部门的共享模式仍然很重要,例如信息共享与分析中心(ISAC)和信息共享与分析组织(ISAO)。但洛杉矶的模式不同。当人们开始从互联系统的角度考虑安全性,而不是在工具和部门之间孤立数据时,融合的潜在力量是巨大的。必须整合网络情报系统,以实现网络攻击环境的全面可见性。