引言
大多數(shù)企業(yè)在安全保護(hù)方面會優(yōu)先集中在攔截和防御(例如反病毒)以及基于策略的控制(如防火墻),將危險(xiǎn)攔截在外(但只是如下圖示的右上角四分之一部分)。
然而,完美的防御是不可能(參見“2020安全防御已成徒勞:通過周密普遍的監(jiān)控和情報(bào)共享來保護(hù)信息安全”)。高級定向攻擊總能輕而易舉地繞過傳統(tǒng)防火墻和基于黑白名單的預(yù)防機(jī)制。
所有機(jī)構(gòu)都應(yīng)該從現(xiàn)在認(rèn)識到自己處在持續(xù)的風(fēng)險(xiǎn)狀態(tài)。但情況是,企業(yè)盲信防御措施能100%奏效,他們更加過度依賴這些傳統(tǒng)預(yù)防機(jī)制。
結(jié)果,面對不可避免的侵害行為時(shí),大多數(shù)的企業(yè)只有有限的能力檢測和反應(yīng),隨之而來是“停擺”時(shí)間變長,損失變大。
圖1:自適應(yīng)防御系統(tǒng)的四個(gè)階段(預(yù)測->防御->監(jiān)控->回溯)
實(shí)際情況中,提升后的防御、檢測、響應(yīng)和預(yù)測服務(wù)都需要應(yīng)對各種攻擊,不管是否高級。更重要的是不要將其視作封閉固定的功能,而應(yīng)以智能集成聯(lián)動的方式工作,對于高級威脅,自適應(yīng)系統(tǒng)需持續(xù)完善保護(hù)功能。
自適應(yīng)防護(hù)架構(gòu)的關(guān)鍵能力
1. “防御能力” 是指一系列策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。這個(gè)方面的關(guān)鍵目標(biāo)是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作。
2. “檢測能力”用于發(fā)現(xiàn)那些逃過防御網(wǎng)絡(luò)的攻擊,該方面的關(guān)鍵目標(biāo)是降低威脅造成的“停擺時(shí)間”以及其他潛在的損失。檢測能力非常關(guān)鍵,因?yàn)槠髽I(yè)應(yīng)該假設(shè)自己已處在被攻擊狀態(tài)中。
3. “回溯能力”用于高效調(diào)查和補(bǔ)救被檢測分析功能(或外部服務(wù))查出的事務(wù),以提供入侵認(rèn)證和攻擊來源分析,并產(chǎn)生新的預(yù)防手段來避免未來事故。
4. “預(yù)測能力”使系安全系統(tǒng)可從外部監(jiān)控下的黑客行動中學(xué)習(xí),以主動鎖定對現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊,并對漏洞劃定優(yōu)先級和定位。該情報(bào)將反饋到預(yù)防和檢測功能,從而構(gòu)成整個(gè)處理流程的閉環(huán)。
作為一個(gè)有價(jià)值的框架,根據(jù)自適應(yīng)防護(hù)架構(gòu)將有助于企業(yè)對現(xiàn)有和未來的安全投入進(jìn)行劃分并確定投入是均衡的。不要讓當(dāng)前市面上的“明星”安全創(chuàng)業(yè)公司的來確定安全投資,機(jī)構(gòu)需評估當(dāng)前的安全投入和能力來決定哪里不足。自適應(yīng)架構(gòu)還可以幫助企業(yè)篩選和評估安全供應(yīng)商。毫無疑問,提供多方面安全能力的供應(yīng)商在戰(zhàn)略上優(yōu)勝于只提供單方面能力的。
安全防護(hù)是一項(xiàng)持續(xù)處理過程
在持續(xù)攻擊時(shí)代,企業(yè)需要完成對安全思維的根本性切換,從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”,前者認(rèn)為攻擊是偶發(fā)的,一次性的事故,而后者則認(rèn)為攻擊是不間斷的,黑客滲透系統(tǒng)和信息的努力是不可能完全攔截的,系統(tǒng)應(yīng)承認(rèn)自己時(shí)刻處于被攻擊中。在這樣的認(rèn)知下,我們才能認(rèn)清持續(xù)監(jiān)控的必要性(見圖2)。
圖2. 自適應(yīng)安全架構(gòu)需要持續(xù)監(jiān)控
持續(xù)監(jiān)控和分析是自適應(yīng)安全架構(gòu)的核心
如圖2所示,為面向高級攻擊而實(shí)現(xiàn)真正的自適應(yīng)及基于風(fēng)險(xiǎn)的響應(yīng),下一代安全防護(hù)程序的核心一定是持續(xù)的,主動監(jiān)控和可視化將持續(xù)分析攻擊痕跡,這將生成大量數(shù)據(jù)。然而,除非配以恰當(dāng)?shù)姆治?輔以外部資源如場景和社區(qū)信息、威脅智能感知系統(tǒng)來提升準(zhǔn)確度)用于提取高執(zhí)行力建議,大數(shù)據(jù)只是噪音而已??梢杂枚喾N分析手段來處理這些數(shù)據(jù),包括啟發(fā)性方法、統(tǒng)計(jì)方法、推理建模、機(jī)器學(xué)習(xí)、聚類分析、貝葉斯建模。
我們相信,今后所有高效的安全防護(hù)平臺除了包括傳統(tǒng)的安全信息事件管理系統(tǒng)之外,核心能力中都會嵌入特定領(lǐng)域分析系統(tǒng)。
企業(yè)監(jiān)控應(yīng)轉(zhuǎn)為主動式,應(yīng)覆蓋盡可能多的IT棧層,包括網(wǎng)絡(luò)活動層、端點(diǎn)層、系統(tǒng)交互層、應(yīng)用事務(wù)層和用戶行為層。
可視化應(yīng)該包括企業(yè)和員工個(gè)人設(shè)備,并支持跨企業(yè)數(shù)據(jù)中心和外部云服務(wù)。未來的防御不僅要深入到控制層,還應(yīng)該包括監(jiān)控和可視化(見圖3)。
圖3. 全技術(shù)層的持續(xù)監(jiān)控
相比傳統(tǒng)的SIEM系統(tǒng)能有效監(jiān)控的數(shù)據(jù),企業(yè)持續(xù)監(jiān)控所有實(shí)體和層,所產(chǎn)生的數(shù)據(jù)容量更大、周轉(zhuǎn)率更高、更加多樣化。
這樣也是為什么Gartner研究認(rèn)為大數(shù)據(jù)將帶來下一代安全防護(hù)解決方案的原因之一(見“信息安全將成為一個(gè)大數(shù)據(jù)分析問題”)。另一個(gè)原因是,到2020年,為存儲用于回溯分析的監(jiān)控?cái)?shù)據(jù),40%的企業(yè)需建立專門"安全數(shù)據(jù)中心"。
通過一段時(shí)間的存儲和數(shù)據(jù)分析,并融入場景、外部威脅和社群智慧,“正常”模式才能建立,而且數(shù)據(jù)分析也可以用于分辨出從正常模式偏離的行為。
隨著技術(shù)支持,這些能力將逐步變得主流,我們相信,自適應(yīng)防護(hù)架構(gòu)也將變成主流,并作為供應(yīng)平臺集成大量組件,并且提供可以方便使用的嵌入式分析引擎。
自適應(yīng)防護(hù)架構(gòu)的6種關(guān)鍵輸入
在我們揭示自適應(yīng)防護(hù)架構(gòu)的12個(gè)能力前,需認(rèn)識到6種關(guān)鍵輸入也是該架構(gòu)不可分割的部分,也需要在安全選型決策中貫徹(見圖4)。
圖4
策略:用于定義和描述各項(xiàng)組織需求包括系統(tǒng)配置、補(bǔ)丁需求、網(wǎng)絡(luò)活動、哪些應(yīng)用允許執(zhí)行,哪些應(yīng)被禁止,反病毒掃描的頻率、敏感數(shù)據(jù)保護(hù)、應(yīng)急響應(yīng)等等。這些策略通常源于內(nèi)部指導(dǎo)和外部影響,例如管理需求。策略驅(qū)動企業(yè)安全平臺如何主動預(yù)防以及響應(yīng)高級威脅。
“場景”: 基于當(dāng)前條件的信息(如地點(diǎn)、時(shí)間、漏洞狀態(tài)等),場景感知使用額外信息提升信息安全決策正確性。對于分辨哪些攻擊逃過傳統(tǒng)安全防護(hù)機(jī)制,以及幫助確定有意義的偏離正常行為而不需要增加大量誤報(bào)率時(shí),對場景的利用非常關(guān)鍵。
“社區(qū)智慧”:為更好地應(yīng)對高級威脅,信息應(yīng)該是聚合的,可通過基于云的社區(qū)進(jìn)行分析和分享的,理想的情況下,還應(yīng)該擁有在相似行業(yè)和地區(qū)進(jìn)行信息聚合及分析的能力。這種“眾包”智能可以提升所有參與者的整體防護(hù)能力,例如社區(qū)智慧適用來回答這樣的問題:“還有哪些企業(yè)同我們一樣?有其他人之前碰到這樣的應(yīng)用/URL/IP地址嗎?是否有一個(gè)我們的同行已經(jīng)開發(fā)出一個(gè)新方法來檢測出這個(gè)高級威脅并可分享給其他人?”
因此,更好的社區(qū)可讓企業(yè)分享最佳實(shí)踐、知識和技巧。規(guī)模性的社區(qū)將受益于網(wǎng)絡(luò)效應(yīng)。有些社區(qū)是自我組織的,例如 FS-ISAC,有些是政府資助的,如北美計(jì)算機(jī)緊急響應(yīng)小組 (US-CERT);其他有些是安全廠商創(chuàng)建的面向合作伙伴和平臺上開發(fā)者的生態(tài)系統(tǒng)。
威脅情報(bào):危險(xiǎn)情報(bào)的核心是那些提供可信有價(jià)值的主題源,如IP地址、域、URLs、文件、應(yīng)用等等。然而,高級威脅情報(bào)服務(wù)還應(yīng)提供給企業(yè)關(guān)于攻擊者/機(jī)構(gòu)的組織方式攻擊目標(biāo)等情報(bào)(見“安全威脅情報(bào)服務(wù)提供商技術(shù)概覽”),另外,服務(wù)商還應(yīng)該提供相應(yīng)的指導(dǎo),幫助企業(yè)針對性防護(hù)這些攻擊。現(xiàn)在更多的威脅情報(bào)以可機(jī)讀的格式發(fā)布,這樣可以更容易直接整合進(jìn)入網(wǎng)絡(luò)、Web、郵件和漏洞安全平臺中(見“可機(jī)讀的威脅情報(bào)技術(shù)概覽”)。
漏洞分析:該信息提供給企業(yè)對其所用到的設(shè)備、系統(tǒng)、應(yīng)用和接口中的漏洞進(jìn)行分析。除了包括一致的漏洞,分析還包括存在于企業(yè)客戶和第三方應(yīng)用中的一些未知的漏洞,可通過主動測試其應(yīng)用、庫和接口來完成。
供應(yīng)商實(shí)驗(yàn)室:大多數(shù)安全防護(hù)平臺廠商提供最新的信息來支持他們的防護(hù)解決方案——例如,為提供對最新發(fā)現(xiàn)的威脅進(jìn)行保護(hù),黑白名單以及規(guī)則和模式都會更新。
自適應(yīng)安全防護(hù)過程中的12個(gè)關(guān)鍵功能
為實(shí)現(xiàn)全面的自適應(yīng)安全防護(hù)架構(gòu),實(shí)現(xiàn)對攻擊的攔截、預(yù)防、檢測和響應(yīng),我們認(rèn)為如下12個(gè)特別的功能非常必要(見圖5)。
圖5
如下是這12種功能的簡單介紹,從右上象限開始按照順時(shí)鐘指針方向開始介紹,需注意順序不代表重要程度,對于全面防護(hù)來說他們同等重要。
加固和隔離系統(tǒng):任何信息安全架構(gòu)的初始功能都是采用多種技術(shù)降低攻擊面,限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力。
無論應(yīng)用在網(wǎng)絡(luò)防護(hù)墻(只允許訪問某些端口/能力)或者系統(tǒng)應(yīng)用控制層(只允許某些應(yīng)用執(zhí)行,見“如何有效部署應(yīng)用控制”),傳統(tǒng)的“默認(rèn)拒絕”模式(白名單)算一種有效的功能,數(shù)據(jù)加密系統(tǒng)也可以視做信息系統(tǒng)層的白名單和加固方式。
漏洞以及補(bǔ)丁管理:用于識別和關(guān)閉漏洞的漏洞及路徑管理功能也可以納入此類。結(jié)合端點(diǎn)隔離和沙盒技術(shù),可主動限制網(wǎng)絡(luò)/系統(tǒng)/進(jìn)程/應(yīng)用相互接口的能力,也是此類的另一種方式(見“面向高級攻擊的虛擬化和控制系統(tǒng)技術(shù)概覽”)。
轉(zhuǎn)移攻擊:簡單來說,該領(lǐng)域功能可是企業(yè)在黑客攻防中獲得時(shí)間上的非對稱優(yōu)勢,通過多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞,以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息)。
例如,被Juniper網(wǎng)絡(luò)收購的Mykonos科技可以創(chuàng)建一個(gè)無漏洞的應(yīng)用層鏡像,隨后提供一個(gè)活躍目標(biāo)的蜜罐。Unisys Stealth可以將網(wǎng)絡(luò)系統(tǒng)隱藏,而CSG's invotas解決方案整合了豐富多樣的偏離技術(shù)。雖然隱藏式安全并不能根本性解決問題,這種方式也視作一種可分層的、深層防御策略。
事故預(yù)防:該類別覆蓋多種成熟的預(yù)防方式防止黑客未授權(quán)而進(jìn)入系統(tǒng),包括傳統(tǒng)的“黑白名單式”的反惡意病毒掃描以及基于網(wǎng)絡(luò)主機(jī)的入侵預(yù)防系統(tǒng)。“行為特征” 也是這方面的另一層應(yīng)用——例如,為防止系統(tǒng)和控制中心交流,可使用來自第三方知名發(fā)布的服務(wù)信息和情報(bào)并整合進(jìn)入網(wǎng)絡(luò)、網(wǎng)管或者基于主機(jī)的控制器。
事故檢測:一些攻擊者不可避免地會繞過傳統(tǒng)的攔截和預(yù)防機(jī)制,這時(shí)最重要的事情就是在盡可能短的時(shí)間里檢測到入侵,將黑客造成損害和泄露敏感的信息最小化。
很多技術(shù)可用在此處,但大多數(shù)依賴于自適應(yīng)防護(hù)體系的核心能力即分析持續(xù)監(jiān)控所收集的數(shù)據(jù),方法包括從正常的網(wǎng)絡(luò)和端點(diǎn)行為中檢測出異常,檢測出有外向連接到已知的危險(xiǎn)實(shí)體,或者是檢測作為潛在攻擊線索的事件和行為特征的序列。
自適應(yīng)安全架構(gòu)的核心功能是持續(xù)而嚴(yán)密的監(jiān)控功能,將分析那些正處于觀察中的與歷史數(shù)據(jù)沖突的情況,這樣安全運(yùn)營分析就可以辨別出那些異常情況,不僅如此,發(fā)展中的持續(xù)安全運(yùn)營中心和熟練的安全運(yùn)營分析人員日益成為企業(yè)的重要核心之一。
風(fēng)險(xiǎn)確認(rèn)和排序:一旦潛在問題被檢測到,就需要在不同實(shí)體中將攻擊的標(biāo)志關(guān)聯(lián)起來進(jìn)行確認(rèn),例如,首先觀察在沙盒環(huán)境中基于網(wǎng)絡(luò)的威脅檢測系統(tǒng)所觀察到進(jìn)程、行為和注冊實(shí)體等,然后將其和實(shí)際端口中的情況相比。
這種在網(wǎng)絡(luò)和端點(diǎn)中分析情報(bào)的能力正是前不久安全闡述FireEye收購Mandian的主要原因之一,基于內(nèi)外情景——例如用戶、角色,信息的敏感性將被處理和資產(chǎn)將進(jìn)行商業(yè)分析——這些事務(wù)也會根據(jù)風(fēng)險(xiǎn)進(jìn)行評估,并通知到企業(yè),再經(jīng)過可視化處理,這樣安全運(yùn)營分析人員就可以專注于優(yōu)先處理那些優(yōu)先級最高的高風(fēng)險(xiǎn)問題。
事故隔離:一旦事故被識別、確認(rèn)和排序,這個(gè)類別的工作將迅速隔離被感染系統(tǒng)和賬戶,防止其阻礙其他系統(tǒng)。常用的隔離能力包括,端點(diǎn)隔離、賬戶封鎖、網(wǎng)絡(luò)層隔離、系統(tǒng)進(jìn)程關(guān)閉,以及立即預(yù)防其他系統(tǒng)執(zhí)行同樣的惡意軟件或訪問同樣的被感染信息。
調(diào)查/取證:當(dāng)被感染的系統(tǒng)和賬戶被隔離好之后,通過回顧分析事件完整過程,利用持續(xù)監(jiān)控所獲取的數(shù)據(jù),根本原因和全部缺口都終將解決。黑客是如何獲得據(jù)點(diǎn)的?這是個(gè)未知的漏洞還是沒有打補(bǔ)丁的漏洞?那些文件或者可執(zhí)行程序包含攻擊?多少系統(tǒng)受到影響?那些信息泄露了?某些情況下,企業(yè)也許想更多了解黑客的來源和動機(jī)——是否國家支持的攻擊?如果是,哪個(gè)國家?都需要有歷史記錄的監(jiān)控信息來回答這些細(xì)節(jié)信息。對于一次完整的調(diào)查,單獨(dú)的網(wǎng)絡(luò)流數(shù)據(jù)可能不夠充分(同樣,對于系統(tǒng)監(jiān)控需要全端口),需要結(jié)合附帶的高級分析工具來回答。同樣,如果供應(yīng)商的實(shí)驗(yàn)室和研究團(tuán)隊(duì)發(fā)布了新的簽名/規(guī)則/模式,也需要重新運(yùn)行歷史數(shù)據(jù)以確定企業(yè)是否也曾是攻擊目標(biāo),或者該攻擊依然未被檢測出來。
設(shè)計(jì)/模式改變:為預(yù)防新攻擊或系統(tǒng)重受感染,需要更改某些策略和控制——例如,關(guān)閉漏洞、關(guān)閉網(wǎng)絡(luò)端口、特征升級、系統(tǒng)配置升級、用戶權(quán)限修改、用戶培訓(xùn)修改或者提升信息防護(hù)選項(xiàng)的強(qiáng)度(例如加密)。
更高級的平臺還可以自動化產(chǎn)生新特征/規(guī)則/模式來應(yīng)對最新發(fā)現(xiàn)的高級攻擊——其實(shí)就是通過“定制化防護(hù)”。然而,在集成新規(guī)則之前,首先要在持續(xù)監(jiān)控所產(chǎn)生的歷史數(shù)據(jù)中進(jìn)行模擬攻防以主動測試其誤報(bào)率和漏報(bào)率。
修復(fù)/改善: 當(dāng)模型化并且決定生效,就開始著手實(shí)施改進(jìn)了。利用新興的安全聯(lián)動系統(tǒng)可以將某些響應(yīng)自動實(shí)施,策略更改可加入到安全策略實(shí)施點(diǎn)如防火墻、入侵防護(hù)系統(tǒng)(IPSs),應(yīng)用控制或者反惡意病毒系統(tǒng)中。
雖然一些新興的安全響應(yīng)聯(lián)動系統(tǒng)設(shè)計(jì)為可以自動和聯(lián)動這些改善事務(wù),但在現(xiàn)在這個(gè)早期階段,企業(yè)依然更傾向于由那些安全運(yùn)營專員、網(wǎng)絡(luò)安全專員或端點(diǎn)支持成員來實(shí)施這些變動。
基線系統(tǒng):系統(tǒng)會不停地進(jìn)行變動;新的系統(tǒng)(如移動設(shè)備和云服務(wù))也將不斷被引入;用戶賬戶不停的新建和撤銷;新的漏洞不斷地披露;新應(yīng)用部署;針對新威脅的適應(yīng)改造也一直進(jìn)行著,所以,我們也應(yīng)該持續(xù)對終端設(shè)備、服務(wù)器端系統(tǒng)、云服務(wù)、漏洞、關(guān)系和典型接口進(jìn)行重定基線以及挖掘發(fā)現(xiàn)。
攻擊預(yù)測:該領(lǐng)域正處于前沿而且日益重要。通過檢測黑客的意圖,關(guān)注黑客市場和公告板;對垂直行業(yè)的興趣;以及對保護(hù)信息的類別和敏感度,這一領(lǐng)域內(nèi)的功能在于主動預(yù)測未來的攻擊和目標(biāo),使企業(yè)可以隨之調(diào)整安全防護(hù)策略來應(yīng)對。
例如,基于收集的情報(bào),很有可能會有一個(gè)針對特定應(yīng)用和OS的攻擊,企業(yè)可以主動實(shí)施應(yīng)用防火墻防護(hù)功能,加強(qiáng)認(rèn)證授權(quán)功能或者主動屏蔽某些接入類型。
主動探索分析:隨著內(nèi)外情報(bào)的收集,需要對企業(yè)資產(chǎn)進(jìn)行探索和風(fēng)險(xiǎn)評估以預(yù)測威脅,同時(shí)也許需要對企業(yè)策略和控制的調(diào)整。
例如,當(dāng)需要新購買一套云服務(wù)時(shí),會帶來什么風(fēng)險(xiǎn)?是否需要上補(bǔ)充控制如加密?一個(gè)新應(yīng)用無論是企業(yè)應(yīng)用還是移動應(yīng)用會帶來什么風(fēng)險(xiǎn)?是否已經(jīng)進(jìn)行了漏洞掃描?是否需要應(yīng)用防火墻或者端點(diǎn)隔離?
像同一系統(tǒng)一樣整合使用功能
最終我們構(gòu)建的不應(yīng)是一個(gè)擁有分離的12個(gè)信息安全功能的解決方案。我們的最終目標(biāo)是一個(gè)更具適應(yīng)性的智能安全防護(hù)體系,它整合了不同的功能,共同分享信息。
例如,某個(gè)企業(yè)一開始并沒有”簽名“功能來預(yù)防一個(gè)漏洞,但當(dāng)攻擊被發(fā)現(xiàn)后,就可以快速通過電子取證分析獲得的知識來攔截后續(xù)的感染,這就是”定制防護(hù)“。所以”簽名已死“的觀念是錯(cuò)誤而夸大的,基于簽名的預(yù)防技術(shù)仍然很有用,即使用于攻擊突破后的防止感染擴(kuò)大。
另一個(gè)例子,一個(gè)基于網(wǎng)絡(luò)的高級威脅檢測應(yīng)用也能通過對終端的攻擊指標(biāo)的交換對比,來確認(rèn)是否攻擊已控制了企業(yè)系統(tǒng)。所以,自適應(yīng)安全體系在攻擊的全周期都可以發(fā)揮作用。
結(jié)合眾多領(lǐng)域功能的持續(xù)事務(wù)中獲得的安全情報(bào),以及不同層級安全控制中交換的情報(bào),就闡述了對新一代情報(bào)感知安全控制(IASC:見TSP安全解決方案概要2014),就像纖維組成繩子,不同功能的整合,功能間的情報(bào)交換,以及威脅情報(bào)在社區(qū)中的輸入輸出,這些優(yōu)勢都將構(gòu)建出一個(gè)全面的更強(qiáng)大的安全防護(hù)體系。
評估系統(tǒng)中服務(wù)商和解決方案的價(jià)值
完整的防護(hù)包括防御、檢測、回溯分析和預(yù)測能力。 更多的安全平臺功能覆蓋多個(gè)領(lǐng)域或?qū)W⒃谀硞€(gè)垂直領(lǐng)域。例如,下一代網(wǎng)絡(luò)安全平臺應(yīng)包括防火墻、入侵預(yù)防、入侵檢測和內(nèi)容分析能力。
這對于安全服務(wù)供應(yīng)商來說來說,也是一個(gè)擴(kuò)展到不同層級以整合提供跨層服務(wù)的機(jī)會。例如,一個(gè)擁有基于網(wǎng)絡(luò)防護(hù)和端點(diǎn)防護(hù)功能的服務(wù)上也許可以連接兩者改善其整體防護(hù)能力。如果一個(gè)服務(wù)商在某領(lǐng)域沒有直接擁有某項(xiàng)能力,就應(yīng)該和其他廠商合作以增強(qiáng)其能力。
整合外部情景和情報(bào)也是一項(xiàng)關(guān)鍵的差異競爭力。例如,什么類型的情景——地點(diǎn)、時(shí)間、設(shè)備、信譽(yù)等等——供應(yīng)商可否能夠理解并入到其安全決策中?供應(yīng)商是否有培養(yǎng)一個(gè)讓客戶可以交換社區(qū)安全情報(bào)的云社區(qū)?該平臺支持什么樣的信譽(yù)流?會考慮IP、URL、設(shè)備、文件和用戶信譽(yù)等信息納入安全決策流程中嗎?
最后,我們認(rèn)為,下一代安全平臺應(yīng)提供風(fēng)險(xiǎn)排序后可執(zhí)行的安全建議,這些建議由可嵌入的特定領(lǐng)域分析功能提供,并結(jié)合持續(xù)監(jiān)控所搜集的數(shù)據(jù)。
我們的目標(biāo)不是取代傳統(tǒng)的SIEM系統(tǒng),而是提供高保障、領(lǐng)域?qū)>?、可?zhí)行的優(yōu)先風(fēng)險(xiǎn)建議,幫助企業(yè)將其安全運(yùn)營響應(yīng)系統(tǒng)聚焦于那些會帶來更高風(fēng)險(xiǎn)的威脅和事故。SIEM依然被用于支持在不同層級監(jiān)控?cái)?shù)據(jù)中的近實(shí)時(shí)檢測,但是不在是盲目地利用事件,而是優(yōu)先化地、基于下一代安全平臺所提供的特定領(lǐng)域情報(bào),SIEM也從而變得更加高效。
本文作者:Garner分析師Neil MacDonald, Peter Firstbrook
本文譯者:本文來自青藤智庫,青藤云安全是國內(nèi)一家專注于服務(wù)互聯(lián)網(wǎng)企業(yè)客戶的安全公司,致力于通過技術(shù)改革和商業(yè)模式上的創(chuàng)新,讓安全對于企業(yè)而言不再是奢侈品?;谇嗵僮赃m應(yīng)安全平臺,任何互聯(lián)網(wǎng)企業(yè)都可以在15分鐘內(nèi)構(gòu)建出最符合自身需求的安全體系。