随着网络威胁形势日趋严峻,恶意行为者的能力不断增强,网络安全团队开始采用更多的工具来降低其风险敞口。这些工具本身可能具有非常大的价值,但企业如今拥有的庞大工具集已经触发了严重问题——这些工具之间的集成存在困难。
IT和安全团队都有自己的工具,这些工具不能相互交互,且很少有工具被设计或设置为协同工作,想要实现跨团队协作比较困难。有研究表明,与使用较少工具的组织相比,部署超过50种工具的企业在检测威胁方面的效率反而降低了8%。
在此背景下,企业组织需要对各种单点式安全工具和控制措施进行整合和管控,这可以带来诸多好处,比如降低成本、提升安全运营效率、增强企业整体安全性。在解决安全工具散乱问题时,企业可以参考建议:
1. 利用分析技术建立网络安全工具清单
开展网络安全工具整合的前提是建立一个全面的安全工具清单,全面了解组织中已有的网络安全工具“有哪些”、“谁在用”的问题。通过建立资产清单,可以快速识别出那些未经许可部署的安全工具,对其进行统一管理和利用;还可以借助构建依赖关系自动化分析能力,对重复部署的安全工具进行整合优化,从而节省安全建设和运营的开支。
2. 清点并淘汰不再有效的工具
在开始整合网络安全工具时,应该彻底评估当前所应用工具的实际使用价值。因为随着安全威胁态势的变化,很多早期部署的安全工具可能不再有用。所有安全控制措施和工具都应该有助于降低企业发生安全事件的概率或可能性。如果企业不再需要某个安全产品,就应该立即淘汰。
比如说,当企业由集中办公模式转为远程办公为主的模式后,防火墙的价值就会大大减弱甚至消失。这时候需要找到一种替代解决方案,以应对远程工作场景中数据泄露的风险,而防火墙设备并不能有效防范这种风险。
每一个网络安全控制措施都应该仔细加以审查,如果缺乏实际的应用理由,就需要摈弃。
3. 利用自动化技术改善安全态势
使用自动化技术可以有效帮助企业的安全管理者发现安全工具散乱的问题,并找到缓解的方法和措施。安全专业人士指出,企业在进行网络安全工具整合时,应优先考虑采用高度自动化功能的工具集。如果没有自动化能力的支撑,企业往往难以统一管理多个安全工具整合后所产生的安全警报或工单。
大量实践证明,利用自动化技术处理重复性任务(比如补丁管理、威胁搜索和事件响应)是简化安全运营操作的关键,不仅能够减轻安全团队的负担,还可以尽量减少人为错误。因此,通过为常规安全任务实施自动化脚本,企业能够将资源重新分配给更具战略性的项目,从而显著改善整体安全态势。
4. 发现重复部署的安全工具
在许多企业,安全工具散乱的一个重要原因是存在重复性的安全工具。许多企业会因为多种原因而购买使用重复性的安全工具,原因包括企业并购、业务部门间的孤岛和缺乏整体的安全计划等。不管是什么原因,花时间发现和摈弃重复的工具大大有助于简化和巩固安全架构。要做到这点,第一步是对已知工具及其发挥的作用进行评估。分析目前使用的工具之间的异同,以及功能饱和、可能重叠的方面。
此外,不同的部门也经常使用不同的工具来执行类似的任务,比如威胁检测和网络监控。如果将这些工具整合到一个更庞大、更可靠的平台,就可以降低相关成本,简化运营,这带来了改善安全态势的额外好处。
因此,在进行网络安全工具整合时,对所有使用中的工具和服务进行功能审查很重要,这可以剔除冗余和重叠性的功能。
5. 统筹规划统一的安全运营管理平台
一个统一的安全运营管理平台可以安全团队有计划地整合各种工具集。在必要的场景下使用统一平台,好处在于,统一的仪表板或集中式的管理控制台可确保总体安全,尤其是安全事件管理方面。同时,将端点安全解决方案整合到单一平台中,不仅可以减少所需许可证的数量,还可以增强端点可见性和提升威胁检测能力。
奉行精简理念对现代企业安全运营工作来说颇为明智,将多个安全警报整合到一个仪表板下,有助于节省检测和响应事件的时间。
此外,精简工具有助于减少供应商管理问题。对于一些企业来说,一个支持团队和一份合同可能更有性价比。
6. 培养倡导工具整合的网络安全文化
如果员工在安全使用设备和使用最新的安全工具方面得到更好的培训,企业可能只需要较少的安全工具,就让所有员工了解最新的威胁和漏洞。而如果使用不当,哪怕再好的工具也不能很好地发挥功效。
为此,企业需要营造持续改进和培训的网络安全文化,定期对员工进行新工具方面的培训,确保所使用的安全工具始终是最新的,比如安装最新的补丁和最新的功能。这使团队能够及时洞察出现的新危险,并确保安全投入得到最大程度的利用。
此外,企业应该让所有利益相关者都参与到工具整合中,包括IT部门、安全部门和业务部门。提供培训,以确保团队能够熟练使用整合的工具,并熟悉新的工作流程.
参考链接:https://www.csoonline.com/article/2515727/6-tips-for-consolidating-your-it-security-tool-set.html