数据安全的头号难题:安全数据孤岛
长期以来,人们普遍认为部署的安全解决方案越多,威胁防御能力就越强,但现实往往截然相反。事实上,五花八门的安全工具所产生的海量安全数据反而成了数据安全和网络安全的一大挑战,导致企业陷入被动防御的局面。
不断扩大的攻击面和激增的法规(例如PCI DSS4.0、NIST、FISMA等)使得安全态势评估变得更加频繁,进一步刺激了针对特定攻击面和漏洞的各类安全工具的部署增长。然而,这些解决方案往往相互孤立,使得安全人员难以识别关键业务领域,评估漏洞的可利用性以及安全举措和控制措施的有效性。打破安全数据孤岛通常需要人工聚合和关联数据,这会导致关键问题得不到及时解决。
IBM的2023年数据泄露成本报告显示,67%的数据泄露是由第三方而不是内部资源发现的。归根结底,企业的目标是提高检测和响应速度,缩短攻击者利用软件或网络配置漏洞的时间窗口。显然,虽然企业坐拥大量安全(工具产生的)数据可帮助理解特定攻击行为的上下文,但仍存在巨大的技术障碍需要克服。
安全数据ETL的局限性
安全监控会产生大量数据,但这些原始数据本身只是实现目标的一种手段。信息安全决策需要基于从安全数据中提取的可操作情报的优先级进行分析,这需要将大量安全数据与其对业务的重要性和组织风险进行关联。
一部分网络产品之间已经可以相互集成,这主要由厂商驱动,有时也得益于标准化工作。然而,更常见的安全集成方法是通过安全信息和事件管理(SIEM)解决方案从不同安全产品收集事件信息。然后,安全编排、自动化和响应(SOAR)平台可根据对这些事件的分析来协调响应。尽管如此,并非所有安全数据都能被这些工具所提取,而且被利用的数据通常都是状态化的。此外,属性映射和情景化方面的问题往往会导致数据质量问题,进而引发人们对数据可靠性和真实性的担忧。
安全网格的正确打开方式
安全网格架构(CSMA)的核心价值是安全工具的聚合与提升。安全人员能为工具建立更多的连接并通过安全网格间接协作,相互影响并提升彼此的功能。安全态势可以跨越不同的安全产品,安全威胁情报也变得更加高效和具有预测性。
根据Gartner的研究,采用安全网格架构将安全工具集成到一个协作生态系统中的企业可以将单个安全事件的财务损失平均降低90%。
但是,如何在不增加太多成本或不彻底改变现有基础设施的情况下实施安全网格呢?
认识到许多企业在运营其安全工具方面面临挑战,新一代安全网格技术厂商应运而生(例如Dassana、Avalor、Cribl、Leen、Monad、Tarsal)。他们提供的解决方案可以实现数据的标准化、添加组织上下文,并将数据归属到其合法所有者。这使得企业能够提取关键情报,以缩短补救时间、提高安全团队的生产力,并最终增强安全控制的有效性。
在评估安全网格解决方案厂商时,决策者应考虑以下核心选择标准:
- 专业知识:安全网格是一个新兴的技术领域,正吸引大量安全厂商入局,因此企业需要仔细评估厂商创始团队成员和相关专家的专业知识。优先选择那些曾经解决过管理不同安全工具数据流挑战,并致力于颠覆安全数据ETL(提取、转换、加载)过程的厂商。
- 安全数据的ETL法:要释放安全网格的巨大潜力,就必须克服传统ETL流程的限制。检查厂商解决方案是否将所有数据整合到单个数据湖中。一旦完成数据整合,单个API就足以满足需求,从而大大简化运维工作。遵循这种方法,安全网格平台可以将所有原始数据摄取到数据湖中,提供诸多优势并实现更深入的洞察。这方面最值得关注的创新点是标准化流程的方法(将其视为内容问题而非映射问题)。
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
546
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
