数据可为企业提供释放全部潜力所需的优势。反过来,员工希望访问数据,以推动更好的客户成效、提高效率并增加利润。随着这些访问需求的增加,对匹配数据安全控制的需求也随之增加。
对于现代企业而言,迁移到云端,释放其全部潜力(增加优势、降低成本和扩大规模)已成为一项战略举措。由此带来的结果就是 IT 基础架构正在经历快速的变化。曾经被屏蔽的数据现在面临的是逐渐消退的边界,这使得云端的数据保护成为一个至关重要的问题。
令人遗憾的事实是,由于这种增长带来的变化是如此巨大,导致我们已经无法再采用旧的数据保护方法。如果不适应这种变化,实体将无法在威胁对业务造成破坏之前发现并响应威胁。
那么,如何解决这一难题?最近,我与 IBM Security 的三位专家就如何实现安全运营中心 (SOC) 的现代化展开了讨论。他们的建议强调了 SOC 可通过结合数据安全的不同元素进行优化的三个领域,即人员、流程和技术。
联合数据安全团队和 SOC 团队
为了让企业及其客户与合作伙伴能够安全地进行良好合作,必须就正确的数据访问级别奠定一个坚实的基础。打破 SOC 团队与数据安全专家之间的壁垒是奠定这种基础的关键。
随着数据在不同团队之间移动,我们应“在数据安全团队与 SOC 之间制定一个共同的控制计划,让他们能够从根本上、真正地作为一个团队开展工作并分享洞察力,”IBM Security 威胁管理产品管理与战略总监 Chris Meenan 说道。
SOC 需要数据的实时洞察力,包括跟踪谁应该拥有数据访问权以及检测环境中的异常行为。如果没有筒仓阻隔,数据安全团队就能在 SOC 检测到威胁时迅速采取行动。
打破数据与安全之间的壁垒可以从小组成效的共同信念开始。
IBM Security 数据安全产品管理项目总监 Reed Shea 说道:“在日常确保系统正常运行的过程中,很容易迷失方向。”
相反,您应该关注数据库管理员和 SOC 分析人员可能共有的常见问题:系统的机密性、完整性和可用性;监管限制和主动合规;确保合适的人可以访问合适的数据等。当与 SOC 的同事一起工作时,数据库管理员可能不确定如何对这些项目进行排序。Shea 提供了有关如何将数据转化为行动的建议。将其提升为具有足够情境信息的情报有助于 SOC 团队采取下一步行动。
聚集业务部门的关键利益相关者
与业务部门中合适的利益相关者合作,确定哪些数据必须处理也很重要。
关于日志源,IBM Security Services 的全球安全情报和运营咨询合作伙伴 Matt Shriner 如是说道:“您并不想抓住所有事情。您只想抓住正确的事情,然后与关键的利益相关者合作完成这些事情。”换言之,您希望引入日志源,这将有助于您实现符合业务优先事项的正确用例。
SOC 经理和首席信息安全官可以与首席风险官、首席信息官和首席财务官合作,以自上而下的方式审视对企业而言最重要的网络风险。让所有关键利益相关者参与进来有助于明确用例列表,这些用例可用作所需安全架构的输入,并按重要性对其进行排序。
Shriner 说道,“从一开始便精确地监控对业务而言最重要的事情”,您便可大幅缩短投资回报周期。
了解合规标准和行业框架
了解数据所在的位置非常关键。结合政府法规来考虑,这一观点比以往任何时候都更加合理,而它反过来又会影响事件响应。向 SOC 提供有关数据泄露响应需求及相关法律的实际情况,有助于确保在发生数据泄露时,他们可以遵循正确的流程。威胁实施者的行动速度非常快,因此负责关键事件的响应人员需要更快地采取行动。
明确自上而下案例使用方法的框架还能够帮助 SOC 建立相关流程。在了解风险时,可以从创建 SOC 最佳实践蓝图或目标运营模型着手。美国国家标准技术研究院 (NIST) 提供了最常用的行业框架之一。
利用合适的工具,而不是部署更多的数据安全工具
除了上述挑战之外,明确要使用哪些工具也非常关键。随着 IT 领域变得越来越分散、多样化,SOC 会引入越来越多的系统。随着工具的增多,就会出现更多采用单独工作流程的数据筒仓。对于已经因为要应对来自各个端点的原始读取内容而不堪重负的团队而言,维护所有这些控制是一项重大且成本高昂的任务。
部署工具的目的在于连接系统、简化数据,而不是让 SOC 工作人员的生活变得更复杂。举例来说,联合数据安全架构可以帮助 SOC 全面了解环境中发生的事件。如果 SOC 团队能够访问公共控制面板并进行联合搜索,他们便可查看数据,而不必花费时间登录多个工具。在联合数据访问的基础上构建业务流程和自动化,意味着分析人员可以专注于经简化的工作流,获得他们所需的实际洞察力并在多云架构中快速执行。
专注于人员
将数据防御扩展到 SOC 的所有领域,这一点关系到企业的投资回报。但同时也与人员有关。打破团队之间的壁垒并在面对规则和过多工具的情况下提供 SOC 支持,有助于改变人员的工作方式和事件响应方式。
回到人员、流程和技术循环的起点,我们可以看到工具必须要能为人员提供服务,而不是人员为工具服务。添加自动化功能是实现这一目标的方法之一。自动化能够提升工作效率、组织警报并提供用户行为分析,进而为 SOC 团队提供他们所需的数据洞察力,让他们不会感到不堪重负。
不仅如此,它还会影响人员的生活。
对此,Shea 如是说道:“当然,确保您的业务持续保持有效并高效地参与市场竞争非常重要。”不过,举例来说:“适当的安全性和数据安全会对患者健康等事务产生影响。”
跨团队、工具和工作流的数据安全
若要跟上威胁格局,SOC 需要专注于策略(包括数据防御方法)的持续改善和演变。吸纳合适的人员、不断完善策略并使用合适的工具,您才有可能不断定义用例并监控对业务而言至关重要的数据。
Shriner 给出的建议是,找到“适当的内容、适当的警报、规则和仪表板,这些从一开始就能为您带来价值。”
对于现代 SOC 而言(无论是企业还是企业员工,又或者是对个人身份信息有疑问的客户或患者),数据访问和恢复速度都至关重要。
Carry Resor Hawes
IBM Security 产品营销经理
Carry 负责 IBM Security 开放混合多云平台 IBM Cloud Pak for Security 的产品营销。她在营销战略、定位、进入市场计划和执行方面具有丰富的专业知识。她在达特茅斯的塔克商学院获得工商管理硕士学位后加入 IBM 工作。在进入商学院学习之前,她主要从事广告业,为许多客户和行业制定了整合营销战略。她拥有耶鲁大学的文学学士学位,大学四年一直是校冰球队成员。
历史精彩文章推荐
关于IBM Security介绍
IBM Security 是 IBM 的信息安全解决方案及服务部门,具有多年深耕全球和本地各行各业客户的经验。IBM Security 在全球守护95%的全球五百强企业和组织的信息安全,客户覆盖金融、医疗、汽车、科技、电信、航空等行业公司及集团,包括50家全球最大的金融和银行机构中的49家、15家最大的医疗机构中的14家,15家全球最大科技企业中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他机构发布的12份不同的分析报告中,有12项技术解决方案被列为领导者,在产业中跻身首列。