50多種安全產(chǎn)品?供應(yīng)商言過其實(shí)?來看看整合的魅力吧
減少安全工具的數(shù)量不僅可以節(jié)省開支,還能讓你更加安全。
不同行業(yè)報(bào)告中的數(shù)據(jù)可能略有差異,但專家估計(jì),CISO 平均在用的安全產(chǎn)品數(shù)量在 55 到 70 個(gè)之間。供應(yīng)商往往言過其實(shí),真正交付的東西跟營銷宣傳相符的情況幾乎沒有。所以 CISO 常會陷入尷尬境地——買來讓自己過得更舒服點(diǎn)的工具最終卻成了自己的頭痛之源。
這也算是行業(yè)特色了。那么,擁有太多集成不良的工具,不得不加配各方面人手,還只能得到缺乏整體安全風(fēng)險(xiǎn)視圖的大量零散數(shù)據(jù);面對這種情況該怎么辦呢?工具整合似乎是個(gè)不錯(cuò)的主意。畢竟,哪位 CISO 不想減少混亂、削減開支和簡化流程呢?但是,該從哪兒著手?
從數(shù)據(jù)質(zhì)量開始
CISO 都明白,***的安全解決方案是不存在的。想要覆蓋各種安全控制就需要部署多個(gè)安全解決方案。但是,CISO 應(yīng)努力***化每個(gè)解決方案的價(jià)值并減少工具的數(shù)量。發(fā)現(xiàn)漏洞和失控現(xiàn)象的安全工具特別容易誤報(bào),其他工具產(chǎn)生的噪音和數(shù)據(jù)也不少,想要解決無用或干擾數(shù)據(jù)過多的問題,可以從增加這些輸出數(shù)據(jù)的完整性和準(zhǔn)確性入手。
通過確保數(shù)據(jù)準(zhǔn)確性,CISO 可以更有效率地驅(qū)動緩解措施部署,知道該***修復(fù)哪里,從中獲得安全工具投入的***投資回報(bào)。而且,數(shù)據(jù)準(zhǔn)確性提高了,也就可以使用自動化分析,不用再耗費(fèi)太多人力跟進(jìn)不同工具的多個(gè)報(bào)告過程了。
向整合靠攏
CISO 持有太多工具的主要原因,是他們一直在采購,卻極少做清理;結(jié)果就是功能重疊,而空白長存。
安全工具的整合勢在必行,而且無規(guī)矩不成方圓,添加新安全解決方案的過程也需要遵循一定的規(guī)律。安全工具整合可不是考察每個(gè)工具的附加價(jià)值和功能不可替代性那么簡單。有兩個(gè)核心基準(zhǔn)可以用來確定真正需要的安全工具:首先,每個(gè)安全工具都應(yīng)貼合安全框架中的重大風(fēng)險(xiǎn);其次,實(shí)現(xiàn)的工具應(yīng)降低公司面臨的風(fēng)險(xiǎn),能夠衡量風(fēng)險(xiǎn)降低程度,并能保持這種風(fēng)險(xiǎn)減少態(tài)勢。
貼合安全框架
基于美國國家標(biāo)準(zhǔn)與技術(shù)局 (NIST) 或其他某些機(jī)構(gòu)的標(biāo)準(zhǔn)發(fā)展出安全框架,然后針對各安全領(lǐng)域選擇一套合適的安全控制,就能獲得自身安全態(tài)勢的完整視圖了。該視圖能夠昭示重點(diǎn)安全領(lǐng)域,有利于著手開發(fā)能夠達(dá)成這些安全控制目標(biāo)的系統(tǒng)和過程。
僅在開發(fā)出這些過程之后,才開始選擇能夠幫助實(shí)現(xiàn)和控制這些過程的工具。每一個(gè)工具都應(yīng)滿足該安全控制框架的某個(gè)具體需求。控制措施管理著系統(tǒng)修復(fù)過程,負(fù)責(zé)讓系統(tǒng)修復(fù)及時(shí)而完整,在沒弄清所有控制措施之前,不應(yīng)開始挑選工具進(jìn)行系統(tǒng)掃描。應(yīng)在了解清楚工具必須達(dá)成的目標(biāo)之后,再選出恰當(dāng)?shù)墓ぞ摺?/p>
怎么整合
購置安全系統(tǒng)的目標(biāo)是降低負(fù)面影響事件發(fā)生的風(fēng)險(xiǎn)(如金融、聲譽(yù)或監(jiān)管風(fēng)險(xiǎn))。設(shè)計(jì)過程和選擇安全工具的時(shí)候一定要謹(jǐn)記這一點(diǎn)。實(shí)現(xiàn)安全過程和工具時(shí)則要保證最終解決方案能做到如下幾點(diǎn):
- 覆蓋公司整個(gè)安全界面。舉個(gè)例子,如果系統(tǒng)漏洞掃描只覆蓋了70%的環(huán)境,那就有可能不足以降低公司的風(fēng)險(xiǎn)。
- 提供足夠的信息以實(shí)施風(fēng)險(xiǎn)緩解操作。例如,若所選系統(tǒng)漏洞掃描器可提供有關(guān)漏洞和固有風(fēng)險(xiǎn)的詳細(xì)信息,但卻不提供與公司相關(guān)度或該系統(tǒng)擁有者的上下文信息,那這工具/系統(tǒng)就談不上為充分降低風(fēng)險(xiǎn)提供了足夠信息。
- 持續(xù)控制,也就是要自動化控制及監(jiān)視過程。否則,即便花費(fèi)時(shí)間金錢緩解了,同樣的風(fēng)險(xiǎn)還會再次襲來。
想要進(jìn)一步優(yōu)化安全工具,還需要解決風(fēng)險(xiǎn)問題。每個(gè)系統(tǒng)、每款工具能夠降低的風(fēng)險(xiǎn)水平是不一樣的。關(guān)注那些承擔(dān)***風(fēng)險(xiǎn)的安全域,就可以重點(diǎn)揀選并實(shí)現(xiàn)合適的安全工具了。
上述基于風(fēng)險(xiǎn)的端到端可持續(xù)安全過程(及其相關(guān)工具)實(shí)現(xiàn)方法,可以幫助公司企業(yè)***性解決以往投入大量工具和金錢仍無法根除風(fēng)險(xiǎn)的安全問題。采取這種方法,長期存在的安全隱患便可一勞永逸。
***,通過強(qiáng)化數(shù)據(jù)質(zhì)量和自動化,再加上工具整合,CISO 氣定神閑地加固公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢并非遙不可及。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
