安全运营领域确实存在问题,但购买更多工具也无济于事。
TrendMicro在2021 年10月的一项调查(“处于守势的安全运营:糟糕的工具对安全分析师造成的损失有多大”)中描述了大公司安全运营状况略微可怕的画面:平均部署了29 个网络安全监控系统 ......分析师强调不开心,淹没在告警中,花费 27% 的时间处理误报,最终忽略或关闭告警。所有这些都来自活跃在该领域的技术供应商的合理谨慎,但也与我们经常在该领域看到的传闻证据相匹配。与往常一样,调查的结论是你需要购买更多工具来解决所有突出的问题(当然是委托调查的人出售的)。网络安全技术行业似乎没有人看到这种报告背后的讽刺意味…… 尽管如此,他们还是对安全运营领域的一些实际问题提出了看法。工具扩散问题是真实而古老的,COVID 危机加剧了短期主义和战术倾向,并围绕网络安全引发了无数下意识的反应,这些反应刚刚在该领域造成了更多的技术债务。安全运营流程本质上是低效的,因为它们几乎总是围绕着突发奇想、在压力下选择特定工具的功能进行反向设计,只是为了应付审计监视,或者因为CISO“在其他地方使用了它们”…没有任何东西是不会被连接起来的,因为除了眼前的需要(应付审计、对事件作出反应)之外,从来没有任何总体愿景。因此,运营任务向各个方向蔓延,并变得重叠、重复和管理不善。与此同时,分析师们在这些过度手动的流程中疲于奔命,最终离开网络安全分析行业摆脱枯燥的工作,他们花一整天的时间将数据剪切和粘贴到 Excel 电子表格中,以生成无用的报告,用于在合规性文档中进行标记……这种枯燥耗时的工作只会疏远各个层次的人才。问题的核心在于工具和流程之间的不断混淆,这一点很容易被科技行业所理解。举几个例子,首字母缩略词 DLP(数据防泄露)或 IAM(身份和访问管理)本身并不指代工具或工具集;它们从字面上指对流程的描述。例如,任何 DLP 实施项目都必须首先确定关键利益相关者、要保护的敏感数据、当前交换的方式、当前打标签或标记(或不标记)的方式、利益相关者的目标和约束围绕数据的保护,容易窃取或泄露数据的内部或外部威胁,最终导致建立一种方法来设计 DLP(作为一个流程),使其在整个公司中发挥作用;它应该包括流程元素,例如异常和告警的处理,以及临时或永久例外的授予,它们本身可能受到某种形式的批准工作流(或 DLP 流程与该空间中预先存在的流程的接口)的约束。只有在你完成了分析和流程设计的那个阶段后,才应该开始寻找可以使你的 DLP 计划成功的工具。反过来说——即从工具选择开始,围绕所选工具的功能定义流程——必然会与预先存在的实践以及利益相关者的期望或能力产生摩擦,导致部署不佳、接受度不佳或两者兼而有之。作为首席信息安全官,相信我们在职业生涯的某个阶段都在压力下完成了这件事,但这其实是一个错误,而且可能是首席信息安全官所犯的最昂贵的错误之一。因为它会造成利益相关者的不信任,随着时间的推移,高级管理层会不禁看到 CISO 不断升级的财务需求,以换取执行不力和持续的违规行为。
更广泛的安全运营问题的解决方案在于通过重新设计和运营流程的智能自动化来整理网络安全资产。这些流程是由习惯的产物制定的,必须在变革的道路上接受培训和引导,而不仅仅是随波逐流。任何情况下,流程都必须是第一位的,然后是人,然后是技术。在过去 20 年的大部分时间里,一直在以相反的方式进行—倾听技术供应商的神话。现在,面对无情的威胁,累积的负担变得难以承受。事情需要改变,但购买更多工具也无济于事,除非他们真正将资产整理和智能流程自动化放在心上。碳泽信息
专注下一代安全防御和响应体系电话:400-1788-258
销售咨询:sales@tanze.net.cn
技术支持:support@tanze.net.cn
官网:http://www.tanze.net.cn