過去兩年,說服企業(yè)領導者認真對待網(wǎng)絡安全變得容易多了。從SolarWinds黑客攻擊,到疫情促使在家辦公蔚然成風帶來普遍問題,越來越多的企業(yè)組織開始面臨更多的安全挑戰(zhàn),企業(yè)高管也開始越來越關注企業(yè)網(wǎng)絡的安全性。
精心設計、精心維護且人員配備齊全的安全運營中心已經(jīng)成為現(xiàn)代企業(yè)組織必須依靠的安全防線,它是一個進行集中安全運維的地方,安全團隊通常全天候不間斷地監(jiān)控、檢測、分析和響應網(wǎng)絡安全事件。企業(yè)組織要確保網(wǎng)絡安全,不妨認真審視一下自己的安全運營中心。
以下梳理了現(xiàn)代企業(yè)安全運營中心必須具備的10種基礎性能力:
1.數(shù)據(jù)采集
所有數(shù)據(jù)都與安全相關。數(shù)據(jù)是現(xiàn)代安全運營中心的生命線,分析和算法離不開數(shù)據(jù)。因此安全運營中心應具備從任何來源(結構化或非結構化數(shù)據(jù))大規(guī)模攝取數(shù)據(jù)的能力,同時,還需要能夠管理這些數(shù)據(jù),以便為機器或人員所用。
2.威脅檢測
一旦安全威脅因素進入公司業(yè)務系統(tǒng),安全運營中心能夠檢測該事件至關重要。在這種情況下,檢測側重于安全事件,而傳統(tǒng)解決方案側重于文件或網(wǎng)絡流量。安全運營中心需要能夠結合多種技術,比如關聯(lián)規(guī)則、機器學習和數(shù)據(jù)分析,以便實現(xiàn)更好的安全事件檢測能力。
3.風險預警
假設安全團隊在發(fā)現(xiàn)安全事件前30分鐘收到警報,很多損失將可以被有效避免。預測安全事件的能力可以讓安全運營中心主動將事件上報給人員,或通過預定義的流程簡化響應。新興的預測技術有望為分析師提供早期預警,并在未知事件成為更大的風險之前識別它們。
4.自動化運營
在安全運營中心的發(fā)展過程中,自動化不再可有可無,而是一種不可或缺的工具。自動化是幫助安全分析師的新技術之一。通過自動化功能,過去需要30分鐘完成的流程現(xiàn)在可以在短短40秒內(nèi)完成,這使安全運營中心可以處理更多事件。
5.能力編排
企業(yè)在構建安全運營中心時,很可能購買了數(shù)十種產(chǎn)品來加強運營。這些工具都有其特定的用途,并添加到防御體系中,但它們往往無法及時更新,以跟上不斷演變的威脅。安全運營中心用來追蹤威脅的產(chǎn)品需要緊跟基于API的網(wǎng)絡環(huán)境,此時,編排就有了用武之地,編排便于插入和連接安全運營中心內(nèi)外的每個組件。
通過編排,安全人員再也不需要為每個產(chǎn)品打開新的瀏覽器選項卡,或使用不同的單點解決方案來登錄,而且無需從不同的解決方案復制和粘貼。編排所有產(chǎn)品的能力可以消除開銷、減少了挫折感,并幫助安全分析師將精力集中在重要任務上。
6.知識庫積累
并不是所有的威脅事件,都可以通過技術手段來發(fā)現(xiàn)和解決。因此,運營平臺需要告訴分析師下一步該做什么,現(xiàn)代安全運營中心通過知識庫積累就能做到這一點,這表現(xiàn)為建議具體的行動或戰(zhàn)略手冊。這有兩大好處:教新的分析師在遇到類似威脅時該怎么做,并讓有經(jīng)驗的分析師進行完整性檢查,或提醒該做什么。
7.事件調(diào)查
預計大部分的一級(tier-1)分析工作將在不久的將來實現(xiàn)自動化,但所有其他工作會有什么變化?這勢必需要詳細精準的人工分析補齊最后一塊短板。直觀的安全工具有助于提升分析師的處理能力,并幫助他們?yōu)樾枰{(diào)查的內(nèi)容確定優(yōu)先級。
8.團隊合作
安全是一項需要協(xié)調(diào)、溝通和協(xié)作的團隊工作。安全運營中心環(huán)境中不能有任何疏忽,需要對安全事件進行全面處理,團隊需要聊天運營(ChatOps)功能,即能夠相互協(xié)作,將工具、人員、流程和自動化連入透明的工作場所。這使信息、想法和數(shù)據(jù)處于最顯眼的位置。它使安全團隊能夠更好地協(xié)作,并邀請企業(yè)外部的專家?guī)椭删瘓螅c同行共享情報信息,并最終與組織外的安全專家協(xié)作,以阻止廣泛的威脅。
9.案例管理
就算企業(yè)安全團隊已經(jīng)盡全力防止安全事故的發(fā)生,有時還是不可避免。當安全事故發(fā)生后,安全團隊需要確保自己有響應計劃、工作流程、證據(jù)收集、溝通、文檔和時間表。這就是為什么案例管理已成為現(xiàn)代安全運營中心的一項核心能力。
10.報告展現(xiàn)
擁有合適的報告工具可以幫助安全團隊了解正在執(zhí)行的操作,并能夠準確地衡量現(xiàn)狀和需要實現(xiàn)的目標。不過,如今安全運營中心面臨的挑戰(zhàn)是依賴太多的平臺,因此幾乎不太可能獲得準確的報告。
