当涉及分层防御和安全工具时,较少的往往更像更多,有时更少。普通企业使用75个安全产品来保护其网络。这是对安全从业者的大量噪音和许多监控和测试。
为了确保安全工具不仅能够工作,而且能够相互协调地工作,一些安全专业人员建议仔细检查安全生态系统的各个层,以消除导致警报过载的冗余。
目前有很多威胁情报信息,AttackIQ公司的首席执行官斯蒂芬·切尼特表示,所有这些威胁信息都可能是压倒性的。“他们需要利用威胁信息来确定哪些信息适用于他们的组织,并根据行业进行调整。风险有很多因素,不仅是对组织的影响,还有威胁的真实可能性。”
安全团队需要蒸馏所有这一威胁情报,并找到与他们的业务有关的事项,因为大多数企业都没有经常测试所有安全工具,“被遗漏的警报,”克特特说。
Chenette说,长期以来,安全行业一直将深度防御作为挫败攻击的解决方案,但现实是,更多的层次并不能阻止攻击。
对于许多企业来说,他们购买的产品和它们的有效性之间存在脱节。Chenette说:“很多人都在安装防火墙、IPS和反病毒软件,认为情报实际上会帮助他们。”
更有效的方法是利用威胁情报和运行攻击测试和攻击模型来识别潜在的盲点。Chenette说:“防守者用列表思维,而攻击者用图表思维。”为了建立最佳的纵深防御策略,组织需要开始查看什么处于风险中,什么处于危险中,然后决定如何围绕这些资产创建安全性。
“希望不是策略,”Chenette说,所以为了让公司改善他们的安全策略,他们需要认识到技术可能会失败。Chenette说:“随着时间的推移,控制会失效,最糟糕的结果是出现了漏洞,因为他们已经有了本应检测到的控制。”
Stephan Chenette, AttackIQ首席执行官
重要的是要知道哪些安全控制到位,控制是否甚至是工作,以及这些是否是逼真威胁的正确控制。
由于平均有75个安全工具在使用,因此存在冗余。“许多组织都在雇佣安全专家来管理冗余产品和毫无意义的警报。持续测试的目的是找出安全产品的核心量。真正拥有明智的战略和弹性的架构,”Chenette说。
试图通过购买工具来缓解风险来解决技术和业务问题的超融合的企业,“相反,结束了缺乏缓解,并且更多告诉我我有问题,”斯坦黑,CSO说,Citrix。
黑人说:“我们都在谈论现在是在这种技术生态系统之后的复杂攻击并试图找到最薄弱的联系。”糟糕的演员知道他们可以找到一个薄弱的链接,可能在企业面前很长。一旦进入,他们就会进步。
“他们最终得到了对网络的多次前攻击。Cryptolockers对安全团队进行了固有的立即需要,以专注于挫败它们,”黑色说。“他们启动了其中一个并在音乐会中发布了与他们主要的其他恶意软件的二次攻击。他们正在使用窗口进入和探测,发送网络钓鱼电子邮件,或者更改二进制代码,因为他们了解更多关于您对这些攻击的回复。,“ 他继续。
许多分层防守的问题出现在不同的战线上。IT帮助台接到一个电话,然后安全操作团队开始在他们的屏幕上看到危险信号。这些事件发生在不同的战线上,而且彼此之间没有对话。
“我们需要一组常见的日志。传统上,每个组都是为了他们独特的目的捕获自己的日志。我们需要朝着一种共同的语言来迁移,以便我们可以获得高保真度,看看持久性和自然的增加。通过使用相同的日志,我们现在能够在音乐会中工作,并全部清晰地清楚地看到其他团队的看法,“黑人说。
Black将企业安全架构中大量的安全工具归因于多次收购和长期增长。安全基础设施的合并很少是在并购;因此,较大的企业最终在安全工具中有很多冗余。
“有两种方法可以消除问题,”黑色说。“在一个问题之间找到显着重叠 - 另一个问题 - 可能会有50%的重叠 - 或找到哪些工具提供最高级别的保真度和可操作的信息,然后随着时间的推移删除或显着减少所有其他工具。”
虽然一些产品为整体生态系统提供了单独增加价值,但管理所有安全技术都变得非常复杂,Micro Focus解决方案策略副总裁Geoff Webb表示。
大多数企业正在深入研究他们的许多层次,并意识到他们增加了许多不同的工具来防止许多不同类型的攻击。“安全团队能够管理和开发遭受损害的架构的能力,”WebB,“因为很难理解发生的事情。”
Webb said, "It’s important to be realistic about what is possible given the people you have. Also, I recommend that they have a strategy that maximizes the results while minimizing the noise in the way they build their infrastructure. That’s why we are seeing this shift to analytics and machine learning. All of those are the result of the need to find balance in this space of too many things to look at and too little help."
Webb和Black都建议安全从业者转变思路,以一种从内到外保护的方式构建他们的安全策略。韦伯说:“一个非常成功的安全团队不仅能让他们难以进入,而且还能专注于迅速把他们弄出来,并限制他们可能造成的破坏。”
物理网络仍然需要防御,因此防火墙和交换机需要到位,但许多安全专业人员正在探索行为分析和虚拟化技术,以了解用户行为,并对扩展的网络具有完全的可视性。
韦伯说:“你必须把重点放在关键的事情上。”理解关键信息集。机密和私人信息应该是建立更好的安全策略的起点。
“查看您是否真的需要监控这些信息的这个产品。基于信息和人们而不是建立建设。难以看看我们努力解决的问题,而不是将工具推进以防止工具是之前的安全风险,“韦伯说。
韦伯说,他经常想起布鲁斯·施奈尔(Bruce Schneier)说过的一句话:“复杂是安全的敌人。”安全基础设施越复杂,防御就越困难。
这个故事,“深入防守:停止支出,开始巩固”最初发布方案 。