随着IT基础设施变得越来越分散和复杂,这使网络安全管理员很难保护用户、数据、应用程序、系统和网络免受攻击。同时,层层叠叠的虚拟化、容器化和架构叠加使安全团队难以适当查看其网络、识别威胁,并在合理的时间内对其进行修复。
那些整合人工智能和机器学习功能的高级安全工具宣称它们能够在第一方和第三方基础设施以及各种软件定义的网络层中提供安全清晰度。与此同时,对于安全可观察性与可视性及监控的角色,开始出现混淆。有些人认为这三个术语可以互换,但其实它们存在明显差异,这可能会影响这些安全工具和流程的交互方式。
监控向安全团队发出警报
安全监控工具已经存在几十年。大型监控工具集的工具或功能通常由IT安全管理员配置,以获取各种设备或软件日志、简单网络管理协议轮询和陷阱、事件消息、NetFlow、数据包捕获和其他流式遥测数据。
通常会设置触发器,因此当安全监控工具处理事件时,当符合特定情况或达到特定阈值的,就会发出警报。IT安全人员将处理警报,以识别它是否是有效的安全威胁,确定安全事件的根本原因并修复威胁。
安全监控可以部署在主机、系统、应用程序或网络级别。但是,传统的安全监控工具需要管理员花费大量时间通过手动流程来追踪和解决事件。随着基础设施变得更加复杂,以及收集的监控数据越来越多,这个问题变得更加困难。此外,安全事件通常会生成来自多个安全监控工具的警报。这些重复的警报可能会导致安全监控疲劳。
可观察性提供智能和修复
安全可观察性有助于解决监控疲劳问题。可观察性平台添加智能,以更广泛进行监控,以确定警报的真正根本原因并帮助管理员正确修复它。
人工智能、机器学习和自动化等先进技术可帮助集中、关联和理解由各个安全监控工具的产生的所有警报。
让我们进一步了解可观察性的安全功能:
- 验证预期的应用程序性能。可设置性能阈值,并在应用程序性能低于最低水平时通知管理员。
- 设置行为基线以及当行为偏离正常观察值时发出警报。可观察性工具为正常基础设施和流量行为设置基线,并在行为偏离正常阈值时发出警报。
- AI驱动事件和根本原因分析。AI可以识别发生事件的特定硬件和软件位置,并提供见解以帮助最好地解决问题。
- 预测分析。可观察性工具不是对可能导致应用程序中断或性能问题的基础设施事件做出反应,而是可在发生任何重大事件和中断之前确定应解决的基础设施区域。
- 网络检测和响应。NDR工具可帮助提供对整个数据安全生命周期的全面可视性,从安全事件识别到事件解决。
可视性剥离网络层
重要的是,不要完全从技术角度考虑安全可视性,而是从IT安全团队的角度考虑。可视性是关于现有监控工具集和可观察性架构可提供的范围和深度,以安全管理员易于理解的格式。
由于网络高度分布,因此安全可视性必须能够查看企业网络的所有角落,包括企业LAN、WLAN和本地数据中心,以及WAN和私有云和公共云上的远程站点。
例如,在疫情的早期阶段,当员工被迫离开办公室并在家工作时,缺乏网络安全可视性的情况可能很普遍。当时安全团队急于加强他们的安全监控和可观察性工具,以提高可视性,包括对整个互联网以及远程位置–用户访问企业应用程序和数据的位置。
安全可视性平面使IT能够剥离每个软件层,直到它到达基础设施的基础。监控工具从虚拟化服务器、容器和网络覆盖中获取状况和安全信息。在物理硬件和主机操作系统(虚拟化软件平台基础)也有额外的监控。
不同但平等
为了突出可观察性与可视性和监控工具的作用,两位IT安全管理员之间关于如何更快地解决触发安全事件的典型对话可能会从细粒度级别开始,并扩展到更高级别。
在这种情况下,首先需要部署和配置特定工具来监控部分基础设施。然后将解决这些工具产生重叠和冗余警报的问题,以及将警报发送到集中工具以进行智能分析,并可能与单个安全事件相关联的方式。
输入安全可观察性。监控和可观察性工具可以部署在局域网和数据中心,但公有云呢?这就是安全可视性的用武之地。
可观察性与可视性和监控工具具有不同的目的,但在整个企业安全架构中扮演着互补的角色。