打破 SOC 的壁壘,提升數據安全性
數據可為企業提供釋放全部潛力所需的優勢。反過來,員工希望訪問數據,以推動更好的客戶成效、提高效率并增加利潤。隨著這些訪問需求的增加,對匹配數據安全控制的需求也隨之增加。
對于現代企業而言,遷移到云端,釋放其全部潛力(增加優勢、降低成本和擴大規模)已成為一項戰略舉措。由此帶來的結果就是 IT 基礎架構正在經歷快速的變化。曾經被屏蔽的數據現在面臨的是逐漸消退的邊界,這使得云端的數據保護成為一個至關重要的問題。
令人遺憾的事實是,由于這種增長帶來的變化是如此巨大,導致我們已經無法再采用舊的數據保護方法。如果不適應這種變化,實體將無法在威脅對業務造成破壞之前發現并響應威脅。
那么,如何解決這一難題?最近,我與 IBM Security 的三位專家就如何實現安全運營中心 (SOC) 的現代化展開了討論。他們的建議強調了 SOC 可通過結合數據安全的不同元素進行優化的三個領域,即人員、流程和技術。
聯合數據安全團隊和 SOC 團隊
為了讓企業及其客戶與合作伙伴能夠安全地進行良好合作,必須就正確的數據訪問級別奠定一個堅實的基礎。打破 SOC 團隊與數據安全專家之間的壁壘是奠定這種基礎的關鍵。
隨著數據在不同團隊之間移動,我們應“在數據安全團隊與 SOC 之間制定一個共同的控制計劃,讓他們能夠從根本上、真正地作為一個團隊開展工作并分享洞察力,”IBM Security 威脅管理產品管理與戰略總監 Chris Meenan 說道。
SOC 需要數據的實時洞察力,包括跟蹤誰應該擁有數據訪問權以及檢測環境中的異常行為。如果沒有筒倉阻隔,數據安全團隊就能在 SOC 檢測到威脅時迅速采取行動。
打破數據與安全之間的壁壘可以從小組成效的共同信念開始。
IBM Security 數據安全產品管理項目總監 Reed Shea 說道:“在日常確保系統正常運行的過程中,很容易迷失方向。”
相反,您應該關注數據庫管理員和 SOC 分析人員可能共有的常見問題:系統的機密性、完整性和可用性;監管限制和主動合規;確保合適的人可以訪問合適的數據等。當與 SOC 的同事一起工作時,數據庫管理員可能不確定如何對這些項目進行排序。Shea 提供了有關如何將數據轉化為行動的建議。將其提升為具有足夠情境信息的情報有助于 SOC 團隊采取下一步行動。
聚集業務部門的關鍵利益相關者
與業務部門中合適的利益相關者合作,確定哪些數據必須處理也很重要。
關于日志源,IBM Security Services 的全球安全情報和運營咨詢合作伙伴 Matt Shriner 如是說道:“您并不想抓住所有事情。您只想抓住正確的事情,然后與關鍵的利益相關者合作完成這些事情。”換言之,您希望引入日志源,這將有助于您實現符合業務優先事項的正確用例。
SOC 經理和首席信息安全官可以與首席風險官、首席信息官和首席財務官合作,以自上而下的方式審視對企業而言最重要的網絡風險。讓所有關鍵利益相關者參與進來有助于明確用例列表,這些用例可用作所需安全架構的輸入,并按重要性對其進行排序。
Shriner 說道,“從一開始便精確地監控對業務而言最重要的事情”,您便可大幅縮短投資回報周期。
了解合規標準和行業框架
了解數據所在的位置非常關鍵。結合政府法規來考慮,這一觀點比以往任何時候都更加合理,而它反過來又會影響事件響應。向 SOC 提供有關數據泄露響應需求及相關法律的實際情況,有助于確保在發生數據泄露時,他們可以遵循正確的流程。威脅實施者的行動速度非常快,因此負責關鍵事件的響應人員需要更快地采取行動。
明確自上而下案例使用方法的框架還能夠幫助 SOC 建立相關流程。在了解風險時,可以從創建 SOC 最佳實踐藍圖或目標運營模型著手。美國國家標準技術研究院 (NIST) 提供了最常用的行業框架之一。
利用合適的工具,而不是部署更多的數據安全工具
除了上述挑戰之外,明確要使用哪些工具也非常關鍵。隨著 IT 領域變得越來越分散、多樣化,SOC 會引入越來越多的系統。隨著工具的增多,就會出現更多采用單獨工作流程的數據筒倉。對于已經因為要應對來自各個端點的原始讀取內容而不堪重負的團隊而言,維護所有這些控制是一項重大且成本高昂的任務。
部署工具的目的在于連接系統、簡化數據,而不是讓 SOC 工作人員的生活變得更復雜。舉例來說,聯合數據安全架構可以幫助 SOC 全面了解環境中發生的事件。如果 SOC 團隊能夠訪問公共控制面板并進行聯合搜索,他們便可查看數據,而不必花費時間登錄多個工具。在聯合數據訪問的基礎上構建業務流程和自動化,意味著分析人員可以專注于經簡化的工作流,獲得他們所需的實際洞察力并在多云架構中快速執行。
專注于人員
將數據防御擴展到 SOC 的所有領域,這一點關系到企業的投資回報。但同時也與人員有關。打破團隊之間的壁壘并在面對規則和過多工具的情況下提供 SOC 支持,有助于改變人員的工作方式和事件響應方式。
回到人員、流程和技術循環的起點,我們可以看到工具必須要能為人員提供服務,而不是人員為工具服務。添加自動化功能是實現這一目標的方法之一。自動化能夠提升工作效率、組織警報并提供用戶行為分析,進而為 SOC 團隊提供他們所需的數據洞察力,讓他們不會感到不堪重負。
不僅如此,它還會影響人員的生活。
對此,Shea 如是說道:“當然,確保您的業務持續保持有效并高效地參與市場競爭非常重要。”不過,舉例來說:“適當的安全性和數據安全會對患者健康等事務產生影響。”
跨團隊、工具和工作流的數據安全
若要跟上威脅格局,SOC 需要專注于策略(包括數據防御方法)的持續改善和演變。吸納合適的人員、不斷完善策略并使用合適的工具,您才有可能不斷定義用例并監控對業務而言至關重要的數據。
Shriner 給出的建議是,找到“適當的內容、適當的警報、規則和儀表板,這些從一開始就能為您帶來價值。”
對于現代 SOC 而言(無論是企業還是企業員工,又或者是對個人身份信息有疑問的客戶或患者),數據訪問和恢復速度都至關重要。
Carry Resor Hawes
IBM Security 產品營銷經理
Carry 負責 IBM Security 開放混合多云平臺 IBM Cloud Pak for Security 的產品營銷。她在營銷戰略、定位、進入市場計劃和執行方面具有豐富的專業知識。她在達特茅斯的塔克商學院獲得工商管理碩士學位后加入 IBM 工作。在進入商學院學習之前,她主要從事廣告業,為許多客戶和行業制定了整合營銷戰略。她擁有耶魯大學的文學學士學位,大學四年一直是校冰球隊成員。
歷史精彩文章推薦
關于IBM Security介紹
IBM Security 是 IBM 的信息安全解決方案及服務部門,具有多年深耕全球和本地各行各業客戶的經驗。IBM Security 在全球守護95%的全球五百強企業和組織的信息安全,客戶覆蓋金融、醫療、汽車、科技、電信、航空等行業公司及集團,包括50家全球最大的金融和銀行機構中的49家、15家最大的醫療機構中的14家,15家全球最大科技企業中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構發布的12份不同的分析報告中,有12項技術解決方案被列為領導者,在產業中躋身首列。
