CISO:你真的了解你的企业安全架构吗?

日期:2017-6-20作者:赵长林来源:TechTarget中国

【TechTarget中国原创】

当今攻击活动(多阶攻击及其大量的不断演变的攻击媒介)所带来的重大挑战导致企业为保护网络而购买大量的安全产品。随着新技术的兴起,例如,高级网络和端点、反恶意软件、网络实体的行为分析系统、反欺诈技术、EDR系统等,企业部署了大堆的产品。供应商和服务提供商战战兢兢,担心不能提供特定的产品或服务而容易遭受这种或那种攻击。企业的购买行为继续不断进行,其成本也是水涨船高,而整个平台的有效性却往往不清晰和不完整。

最终,CISO(首席信息安全官)发现,要评估企业安全武库中安全产品的性能是很难的。哪种产品能够成功地确认、减轻发生的攻击?哪种产品不能完成所期望的功能,从而导致企业面临被攻击的危险?哪种产品可能半年前或一年前还有效,却未能进化并解决当前的攻击?哪种产品在何种情况下可被激活,是否正确的选择?也许最重要的问题是,不同的产品能够有效地协同运行吗?

很多CISO每天都要经受无法回答这些问题的失败感。由于其安全平台是由来自很多不同厂商的大量独立产品组成的,因而,发生混乱也不足为奇。CISO常常感觉到自己就像是一位在黑暗中指挥战斗的将军,他想努力看看军队是否正朝着正确的方向前进,设备是否已经为战斗作好准备。这种“在黑暗中的摸索”是一种障碍,在对付当今日益复杂的攻击活动的过程中,企业几乎无法承受这种状态。

在考虑高级自动化、协作、减轻威胁、修复时,首先需要理解企业真正掌握着什么。

关注安全装备是实现透明性的首要一步。这些问题包括:在针对每种安全风险时,企业安全架构中的产品如何有效地完成任务?每种产品或服务的准确率如何? 这些产品真正地满足企业的安全合规需求吗?企业是否可以中止安全设备,以“查看”每种产品在遭受网络攻击时的贡献量和关键程度呢?如果禁用了一种产品,会发生什么?

在回答了这些问题后,我们就可以更好地为企业规划最有效的安全状态。企业不能低估对投资回报的切实影响。每个大中型企业都有可能为大量冗余的过时的或性能低劣的产品和服务花钱。透明性和诊断可以给出明确的答案,可以使企业简化、优化、清理不必要的东西。

有效的诊断工具不仅可以使企业在事后评估产品的有效性,而且有助于针对日后的新攻击做出战略决策。这种诊断系统可以使企业混合和匹配工具,从而可以重放攻击,以查看如何更好地面对攻击,或者映射未来的攻击,试验不同的防御状况,并测试每种防御工具的潜在有效性。

如下方法可以提供高质量的诊断结果:

安全分析系统:如今,多种安全分析解决方案都宣称能够从安全工具中收集所有的安全事件,并可以将这些事件“点”连接起来,从而发现是否有真正的攻击正在发生,将“噪声”从真正有影响的安全事件中分离开来。如果这些系统还能够并真实事件进行分类和解析,以及每个安全厂商的“噪声”,就可以向CISO形象地提供分析工具的有效性。

“杀伤链”的有效性:(“杀伤链”原是一个与攻击结构有关的军事概念,它由攻击确认、火力部署、决策、命令攻击、摧毁目标等阶段组成。最近,有美国的安全机构将“杀伤链”这个概念用于信息安全,作为对计算机网络的入侵进行建模的一种方法。)有些工具在某些类型的攻击手段中表现更好,而在其它方面却无能为力,这是一个行业事实。随着时间的推移,这种现象确实会发生改变。将每个工具产生的安全事件与“杀伤链”的各个阶段联系起来有助于帮助CISO理解每种工具对企业的贡献,确认差距并据以确定工具的优先次序。

“混搭” 模拟:任何CISO的梦想之一就是,能够模拟可以测试各种安全工具和厂商组合的场景,一起协作测试、调查、减轻各类高级攻击,并得到一个“质量评分”,即一个比较不同工具的指数。但,我们还没有实现此目标,但安全协作技术中新出现的领域似乎正在实现此梦想的正确轨道上。

诊断和持续评估是当今企业大量活动中的基本组成部分。分析让我们确切地知道企业网络表现的性能:哪些人访问过、来自哪里、访问了多长时间等。CRM系统使企业在任何时间都能够实时地全面地看到销售过程。但是,在安全领域,企业仍处于黑暗中,为不再需要的大量产品和服务花钱,却不能衡量性能和确定优先权。现在正是我们让安全系统见到光明的时间,我们要将知识、控制重新带回到企业中。实现这个目标意味着一个精简的更高效的安全机制,从而极大地改善在安全上的投资回报。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心