组织网络每天可以从正常活动、联网移动设备、传感器和基于云的服务中生成数TB的数据。有来自多个来源的数千个数据元素,例如用户活动的Web和系统日志、元数据、IP地址、路由器日志、第三方防病毒软件,它们都在不断发展和繁殖。当他们这样做时,攻击面就会扩大。因此,IT团队面临着对收集到的见解迅速采取行动以保护其网络并最大限度地降低网络攻击风险的压力。
问题在于,面对如此大量的数据,安全专业人员可能会不知所措,难以整理数据进行分析。然而,最常见的是,他们发现很难理解每个数据点的含义、其含义以及如何将警报转化为行动。虽然监控和收集日志以监控网络活动是一种很好的做法,但如果没有人理解它们,这样做真的有意义吗?那么,数据如何帮助改进网络安全策略呢?
保护网络
今天,很少有网络攻击是在单个端点上进行的。几乎所有人都必须穿越网络,如果该网络没有得到适当的保护,黑客可以在离开之前进入并造成严重破坏。然而,无论他们是否设法操纵系统日志,装备精良的分析师仍然能够查看网络数据并确定到底发生了什么。网络是最重要证据的居所,也是通往公司心灵和大脑的最佳途径。如果受到损害,它们可能会破坏运营,导致严重的财务影响和声誉损失。因此,至关重要的是IT团队了解健康的网络是什么样子,然后才能通过定期监控和主动威胁搜寻来发现异常并缩小差距。转向以数据为核心的更主动的网络安全策略是保护企业免受不断发展和日益复杂的网络威胁的最佳实践。
增强端点安全性
虽然大多数黑客以网络本身为目标以获取对组织资产的访问权限,但有些黑客确实首先利用端点漏洞然后渗透网络。家庭和商业设备都极易受到网络犯罪的影响。从传统恶意软件到网络钓鱼攻击,只需一个可疑链接即可传播病毒并危害系统。随着物联网设备数量的不断增加、BYOD趋势的持续流行和工作模式的不断变化,IT团队需要深入了解每个端点,以保护其免受横穿企业网络的威胁。无论团队决定采用不同的防病毒、URL过滤还是额外的应用程序控制,这些决定都必须基于证据来确保实施的安全实践确实能够最大限度地降低网络攻击的风险。
加快事件响应速度
由于大多数人现在都以他们生活的某些身份在网上进行操作,因此可以肯定会发生事件。当它们发生时,它们中的任何一个都不应被忽略。数据在这里很关键,因为除非他们有数据要分析,否则事件响应者无法开始调查。但是,即使他们有数据,如果他们无法理解,他们将如何处理?可悲的事实是:什么都没有。随着调查的延迟,公司正在向众多危险敞开大门。如果有更多的时间,黑客可以破坏系统,窃取或破坏更敏感的数据,或者隐藏在网络中。缓慢的响应也可能导致危险的大量积压,尤其是当高优先级和严重警报进入堆中时。因此,事件响应的速度对于保护组织数据免受入侵者的侵害至关重要。
有效的法医调查
无论是在现实世界还是虚拟世界,调查犯罪现场都不是一件容易的事。然而,构建一个关于发生的事情和原因的完整故事是每个网络安全战略的一个非常重要的部分。通过过滤数千个数据日志并提取元数据,安全团队需要收集尽可能多的网络、端点和系统证据来结案。最好的网络安全工具将有助于访问精细的历史数据并理解它来讲述事件的故事,使用叙述来提高网络安全性并防止未来发生违规行为。毕竟,每一次妥协和每一次数据泄露都是一次学习体验,应该用来调整技术、工具和流程,以提高可见性、改进威胁追踪并加快检测速度。
理解噪音
安全团队可以收到大量警报,告知他们潜在的威胁。其中一些确实是相关的,而另一些则是低优先级的。团队获得的噪音越多,错过重要事情的机会就越大。如果安全团队没有被来自多个安全系统指向严重问题的大量通知所淹没,那么臭名昭著的Target数据泄露事件是可以避免的。在Target的案例中,速度因素是阻止违规行为的关键,或者至少是最小化其影响的关键,但团队根本无法处理或分类警报。这个问题更为普遍,而且在大公司和小公司中仍然非常普遍。
然而,今天的安全工具不仅为IT部门提供了更好的警报准确性,还提供了数据上下文和额外的支持信息,以加快事件响应和进行更有效的调查。限制噪音水平并显着提高噪音质量有助于更好、更快地做出决策。安全指标很复杂,因此IT团队使用的工具应该提供一定程度的简化。这样一来,随着数据变成易于理解、可操作的见解,对网络安全战略的信心就会增强。凭借信心、简单性和更好的警报优先级,网络安全团队可以将他们的方法从被动转变为主动,永远不会错过潜伏的入侵者。配备正确的工具可以帮助团队更好地理解安全数据,成功地防止违规行为并在未来几年保护企业、员工和客户。