過去兩年���,說服企業(yè)領(lǐng)導(dǎo)者認(rèn)真對待網(wǎng)絡(luò)安全變得容易多了����。從SolarWinds黑客攻擊���,到疫情促使在家辦公蔚然成風(fēng)帶來普遍問題���,越來越多的企業(yè)組織開始面臨更多的安全挑戰(zhàn)����,企業(yè)高管也開始越來越關(guān)注企業(yè)網(wǎng)絡(luò)的安全性�����。
精心設(shè)計�����、精心維護(hù)且人員配備齊全的安全運營中心已經(jīng)成為現(xiàn)代企業(yè)組織必須依靠的安全防線���,它是一個進(jìn)行集中安全運維的地方�����,安全團(tuán)隊通常全天候不間斷地監(jiān)控�����、檢測�����、分析和響應(yīng)網(wǎng)絡(luò)安全事件��。企業(yè)組織要確保網(wǎng)絡(luò)安全�����,不妨認(rèn)真審視一下自己的安全運營中心�。
以下梳理了現(xiàn)代企業(yè)安全運營中心必須具備的10種基礎(chǔ)性能力:
1. 數(shù)據(jù)采集
所有數(shù)據(jù)都與安全相關(guān)。數(shù)據(jù)是現(xiàn)代安全運營中心的生命線�,分析和算法離不開數(shù)據(jù)。因此安全運營中心應(yīng)具備從任何來源(結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù))大規(guī)模攝取數(shù)據(jù)的能力���,同時,還需要能夠管理這些數(shù)據(jù)��,以便為機(jī)器或人員所用���。
2. 威脅檢測
一旦安全威脅因素進(jìn)入公司業(yè)務(wù)系統(tǒng)����,安全運營中心能夠檢測該事件至關(guān)重要�。在這種情況下,檢測側(cè)重于安全事件�����,而傳統(tǒng)解決方案側(cè)重于文件或網(wǎng)絡(luò)流量。安全運營中心需要能夠結(jié)合多種技術(shù)���,比如關(guān)聯(lián)規(guī)則�、機(jī)器學(xué)習(xí)和數(shù)據(jù)分析���,以便實現(xiàn)更好的安全事件檢測能力���。
3. 風(fēng)險預(yù)警
假設(shè)安全團(tuán)隊在發(fā)現(xiàn)安全事件前30分鐘收到警報,很多損失將可以被有效避免�。預(yù)測安全事件的能力可以讓安全運營中心主動將事件上報給人員,或通過預(yù)定義的流程簡化響應(yīng)����。新興的預(yù)測技術(shù)有望為分析師提供早期預(yù)警,并在未知事件成為更大的風(fēng)險之前識別它們���。
4. 自動化運營
在安全運營中心的發(fā)展過程中���,自動化不再可有可無,而是一種不可或缺的工具���。自動化是幫助安全分析師的新技術(shù)之一�。通過自動化功能,過去需要30分鐘完成的流程現(xiàn)在可以在短短40秒內(nèi)完成��,這使安全運營中心可以處理更多事件���。
5. 能力編排
企業(yè)在構(gòu)建安全運營中心時���,很可能購買了數(shù)十種產(chǎn)品來加強(qiáng)運營。這些工具都有其特定的用途���,并添加到防御體系中����,但它們往往無法及時更新����,以跟上不斷演變的威脅�。安全運營中心用來追蹤威脅的產(chǎn)品需要緊跟基于API的網(wǎng)絡(luò)環(huán)境,此時�,編排就有了用武之地,編排便于插入和連接安全運營中心內(nèi)外的每個組件���。
通過編排����,安全人員再也不需要為每個產(chǎn)品打開新的瀏覽器選項卡,或使用不同的單點解決方案來登錄�,而且無需從不同的解決方案復(fù)制和粘貼。編排所有產(chǎn)品的能力可以消除開銷�����、減少了挫折感�����,并幫助安全分析師將精力集中在重要任務(wù)上��。
6.知識庫積累
并不是所有的威脅事件���,都可以通過技術(shù)手段來發(fā)現(xiàn)和解決���。因此,運營平臺需要告訴分析師下一步該做什么����,現(xiàn)代安全運營中心通過知識庫積累就能做到這一點�,這表現(xiàn)為建議具體的行動或戰(zhàn)略手冊���。這有兩大好處:教新的分析師在遇到類似威脅時該怎么做��,并讓有經(jīng)驗的分析師進(jìn)行完整性檢查�,或提醒該做什么�����。
7. 事件調(diào)查
預(yù)計大部分的一級(tier-1)分析工作將在不久的將來實現(xiàn)自動化���,但所有其他工作會有什么變化?這勢必需要詳細(xì)精準(zhǔn)的人工分析補(bǔ)齊最后一塊短板���。直觀的安全工具有助于提升分析師的處理能力,并幫助他們?yōu)樾枰{(diào)查的內(nèi)容確定優(yōu)先級��。
8. 團(tuán)隊合作
安全是一項需要協(xié)調(diào)���、溝通和協(xié)作的團(tuán)隊工作。安全運營中心環(huán)境中不能有任何疏忽��,需要對安全事件進(jìn)行全面處理�,團(tuán)隊需要聊天運營(ChatOps)功能���,即能夠相互協(xié)作,將工具�����、人員���、流程和自動化連入透明的工作場所���。這使信息、想法和數(shù)據(jù)處于最顯眼的位置���。它使安全團(tuán)隊能夠更好地協(xié)作����,并邀請企業(yè)外部的專家?guī)椭删瘓�����,與同行共享情報信息�����,并最終與組織外的安全專家協(xié)作,以阻止廣泛的威脅����。
9. 案例管理
就算企業(yè)安全團(tuán)隊已經(jīng)盡全力防止安全事故的發(fā)生,有時還是不可避免�。當(dāng)安全事故發(fā)生后,安全團(tuán)隊需要確保自己有響應(yīng)計劃����、工作流程、證據(jù)收集��、溝通���、文檔和時間表�����。這就是為什么案例管理已成為現(xiàn)代安全運營中心的一項核心能力���。
10. 報告展現(xiàn)
擁有合適的報告工具可以幫助安全團(tuán)隊了解正在執(zhí)行的操作,并能夠準(zhǔn)確地衡量現(xiàn)狀和需要實現(xiàn)的目標(biāo)�����。不過����,如今安全運營中心面臨的挑戰(zhàn)是依賴太多的平臺,因此幾乎不太可能獲得準(zhǔn)確的報告�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
