随着网络威胁的不断增长和安全法规的日益严苛,全球网络安全投资规模不断创下新高。据Gartner预测,2024年全球组织在IT安全和风险管理工具上的投入将达到2087亿美元。
然而,埃森哲(Accenture)的报告却显示,尽管投入巨资,超过七成(74%)的首席执行官对企业数据安全和网络安全态势缺乏信心。
数据安全的头号难题:安全数据孤岛
长期以来,人们普遍认为部署的安全解决方案越多,威胁防御能力就越强,但现实往往截然相反。事实上,五花八门的安全工具所产生的海量安全数据反而成了数据安全和网络安全的一大挑战,导致企业陷入被动防御的局面。
不断扩大的攻击面和激增的法规(例如PCI DSS4.0、NIST、FISMA等)使得安全态势评估变得更加频繁,进一步刺激了针对特定攻击面和漏洞的各类安全工具的部署增长。然而,这些解决方案往往相互孤立,使得安全人员难以识别关键业务领域,评估漏洞的可利用性以及安全举措和控制措施的有效性。打破安全数据孤岛通常需要人工聚合和关联数据,这会导致关键问题得不到及时解决。
IBM的2023年数据泄露成本报告显示,67%的数据泄露是由第三方而不是内部资源发现的。归根结底,企业的目标是提高检测和响应速度,缩短攻击者利用软件或网络配置漏洞的时间窗口。显然,虽然企业坐拥大量安全(工具产生的)数据可帮助理解特定攻击行为的上下文,但仍存在巨大的技术障碍需要克服。
安全数据ETL的局限性
安全监控会产生大量数据,但这些原始数据本身只是实现目标的一种手段。信息安全决策需要基于从安全数据中提取的可操作情报的优先级进行分析,这需要将大量安全数据与其对业务的重要性和组织风险进行关联。
一部分网络产品之间已经可以相互集成,这主要由厂商驱动,有时也得益于标准化工作。然而,更常见的安全集成方法是通过安全信息和事件管理(SIEM)解决方案从不同安全产品收集事件信息。然后,安全编排、自动化和响应(SOAR)平台可根据对这些事件的分析来协调响应。尽管如此,并非所有安全数据都能被这些工具所提取,而且被利用的数据通常都是状态化的。此外,属性映射和情景化方面的问题往往会导致数据质量问题,进而引发人们对数据可靠性和真实性的担忧。
安全网格的正确打开方式
安全网格架构(CSMA)的核心价值是安全工具的聚合与提升。安全人员能为工具建立更多的连接并通过安全网格间接协作,相互影响并提升彼此的功能。安全态势可以跨越不同的安全产品,安全威胁情报也变得更加高效和具有预测性。
根据Gartner的研究,采用安全网格架构将安全工具集成到一个协作生态系统中的企业可以将单个安全事件的财务损失平均降低90%。
但是,如何在不增加太多成本或不彻底改变现有基础设施的情况下实施安全网格呢?
认识到许多企业在运营其安全工具方面面临挑战,新一代安全网格技术厂商应运而生(例如Dassana、Avalor、Cribl、Leen、Monad、Tarsal)。他们提供的解决方案可以实现数据的标准化、添加组织上下文,并将数据归属到其合法所有者。这使得企业能够提取关键情报,以缩短补救时间、提高安全团队的生产力,并最终增强安全控制的有效性。
在评估安全网格解决方案厂商时,决策者应考虑以下核心选择标准:
- 专业知识:安全网格是一个新兴的技术领域,正吸引大量安全厂商入局,因此企业需要仔细评估厂商创始团队成员和相关专家的专业知识。优先选择那些曾经解决过管理不同安全工具数据流挑战,并致力于颠覆安全数据ETL(提取、转换、加载)过程的厂商。
- 安全数据的ETL法:要释放安全网格的巨大潜力,就必须克服传统ETL流程的限制。检查厂商解决方案是否将所有数据整合到单个数据湖中。一旦完成数据整合,单个API就足以满足需求,从而大大简化运维工作。遵循这种方法,安全网格平台可以将所有原始数据摄取到数据湖中,提供诸多优势并实现更深入的洞察。这方面最值得关注的创新点是标准化流程的方法(将其视为内容问题而非映射问题)。
- 价值实现时间:你需要的绝不是另一个类似SIEM的工具,SIEM只负责聚合数据,剩下的繁重工作留给您自己去做。因此,评估安全网格产品需要重点关注它是否提供能立刻带来价值的情景化输出,是否支持用户利用自助分析来查询任何数据集,或者更有价值的是,利用本机应用程序来解决特定用例(例如,基于风险的漏洞和攻击面管理、安全KPI和资源规划、安全控制有效性管理))。
结论
传统网络安全方法需要从无数安全工具产生的数据洪流中提取价值信息,以加快缓解和修复速度,提高安全团队的生产力,并最终增强安全控制的有效性。但是,这种方法通常成本高昂且耗时,而且需要大量定制开发工作。安全网格有望颠覆传统安全方法并极大提升网络安全投资回报率。