安全管理注意事项
考虑一下数据的安全保护,这个想法很明确:对事件响应的任何方面的改进使其过程更加高效。例如,团队发现漏洞的速度越快,修补漏洞的速度就越快。
然而,威胁检测通常是复杂的。能够将事件简化为更准确的叙述并发现根本原因至关重要。找出网络攻击已进入网络的位置以及攻击的目标成为解决问题的关键。
毕竟,补救的技巧不仅仅是解决问题。它还涉及发现哪些资产必须首先受到保护,以及往返于网络的哪些路径风险比较大。
IT系统的哪些部分更容易受到威胁?
风险包括以下部分:
- 与内部部署计算机和资产相比,面向公共互联网的设备面临的风险要大得多。深入了解Web服务器比保护打印服务器更重要。
- 与可以由威胁参与者观察和访问的文件相比,可以编辑、破坏或更改的文件类型面临的风险更大。
- 如果文件离开网络,安全操作团队必须防止泄漏。
- 该平台应能够确定用户是否有权访问特定数据。
网络本身的概念正在发生变化。也许十年前,安全团队可以将关键资产隐藏在内部部署防火墙后面,而网络架构是扁平的。现在已经不是这种情况。网络由私有云和公共云组成(通常不止一个公共云)。工作负载存在于容器、移动用户和物联网(IoT)设备中。虽然网络变得越来越复杂,但安全人员仍然有着相同的目标。因此,现代方法可以在更复杂的环境中提供更精简的管理和工作流。
安全管理需要强大的平台
先进的网络安全平台必须是云原生的,但不仅限于软件即服务(SaaS)。该平台应足够灵活,可以在所有者选择的地方进行部署。这可能是内部部署、公共云或私有云或混合云架构。允许云计算、多租户、远程存储、搜索的中心有利位置、更好的南北入口/出口以及使用公共云基础设施即服务(IaaS)连接多个设备的可能性。灵活的架构还支持具有混合环境的组,包括多个云计算和内部部署解决方案。
新的工具和远程工作的转变意味着这个领域变化很快。
良好的安全管理平台的要素
安全管理平台必须与供应商无关。对于任何产品供应商来说,这似乎都是一项艰巨的任务。但是,供应商必须为客户寻求最佳结果。最终用户不希望被供应商锁定,任何工具或平台的一个关键功能是无需“翻新和替换”现有工具。
该平台还应包括数据丢失统计信息和文件完整性管理,还要采用可以防止数据被不正确的访问或混淆的工具。
良好的平台应该在分析人员考虑调查之前就会管理和验证平台内警报的质量。智能平台应该是来自SIEM工具、端点、防火墙、威胁情报工具和其他软件的数据的中枢神经系统。
管理虚假警报
但是,有些工具并不是用户所需要的。这些工具通常会标记基于正常网络条件(例如新配置、操作系统和软件升级等)的更改。平台需要清除微弱的信号并关联更强的警报。
此外,该平台将确保将事件响应过程直接与工作流联系在一起。例如,当分析人员研究特定的恶意软件时,仪表板应提示有关恶意软件类型的已知信息。此外,规划对分析师也很有帮助,提示下一步该做什么以及从哪里开始解决问题。毕竟,一切能让工作更有效率的东西都很重要。