隨著網(wǎng)絡安全挑戰(zhàn)的不斷增長，企業(yè)需要不斷應用新的安全工具和服務來應對安全威脅。一個關(guān)鍵的考量因素是，如何將這些產(chǎn)品(許多情況下由不同的供應商提供)的安全能力整合起來，實現(xiàn)整體化的安全運營與防護，以支持安全部門統(tǒng)一連貫的安全戰(zhàn)略。

遷移到云使安全整合變得容易了一點，但如果組織試圖打造強有力的系統(tǒng)來防范最新的威脅，可能仍然面臨重重障礙。以下是企業(yè)在實現(xiàn)單點網(wǎng)絡安全能力融合時，可能會面臨的7重挑戰(zhàn)，以及如何有效地克服這些挑戰(zhàn)。

1. 安全能力碎片化

一個常見的安全整合問題源于網(wǎng)絡安全是個碎片化發(fā)展嚴重的行業(yè)，許多企業(yè)都部署了過多的安全產(chǎn)品和服務。IBM Security的產(chǎn)品管理副總裁Chris Meenan說：“大量不同的安全工具以及彼此之間缺乏互操作性是當今網(wǎng)絡安全運營面臨的最大挑戰(zhàn)之一。每種新的安全工具都必須與其他數(shù)十種安全工具整合，因而帶來了大量的定制集成，管理工作量相當大。”

埃森哲安全全球董事總經(jīng)理Kelly Bissell表示，如今市場上有成千上萬的網(wǎng)絡安全工具，特性和功能各異。無論經(jīng)驗水平如何，任何安全領(lǐng)導者在為公司做出正確的安全選擇時都很容易不知所措。

結(jié)果常常是企業(yè)安全基礎設施由數(shù)十種甚至上百種不同的工具拼湊而成。如果引入新工具，但無法與其他平臺或安全工具協(xié)同使用，就更難切實了解真實的威脅情況了。為此，組織需要進行一番清理，規(guī)范或整合網(wǎng)絡安全工具。他們還應該選擇幾家核心供應商，砍掉其他供應商，最大限度地提升核心供應商的價值。這將節(jié)省許可和整合成本，同時簡化IT環(huán)境。

2. 安全產(chǎn)品標準化不足

Meenan表示，如今市面上的許多安全工具使用專有接口和數(shù)據(jù)交換語言。雖然現(xiàn)在許多企業(yè)提供開放式應用程序編程接口(API)，但這些API不一定遵循相同的標準，因此仍需要特定的自定義代碼來整合產(chǎn)品。此外，數(shù)據(jù)交換語言也沒有標準化。

Meenan表示，多個安全社區(qū)正在努力解決這個互操作性問題，致力于開發(fā)更通用的數(shù)據(jù)模型、開放標準和開源工具，這些工具可在眾多供應商和工具集當中通用。如果依賴通用API和數(shù)據(jù)模型，安全團隊就能夠更輕松地將一種工具換成另一種工具，最終更容易添加新工具，并緩解供應商鎖定問題。

這種社區(qū)合作取得成效的一個典例是開放網(wǎng)絡安全聯(lián)盟(OCA)。這是一個跨行業(yè)的組織，由供應商、消費者和非營利組織組成，采用開放治理模式，致力于利用開源和開放標準來增強網(wǎng)絡安全互操作性。

開放網(wǎng)絡安全聯(lián)盟之類的組織旨在將來自更廣泛的安全社區(qū)參與者聚集在一起，以開放透明的方式幫助定義這些標準，社區(qū)負責開發(fā)、審核和反饋。許多公司現(xiàn)在可以開始關(guān)注基于開源工具和標準的軟件，以減輕現(xiàn)在和將來在安全整合方面的負擔。

3. 應用環(huán)境復雜

網(wǎng)絡安全專家Eric Cole是Secure Anchor Consulting的創(chuàng)始人兼首席執(zhí)行官，他表示，安全工具常常需要通過訪問系統(tǒng)或獲取到網(wǎng)絡流量才能正常使用，而添加新工具可能導致現(xiàn)有工具停止工作。這基于這樣一個前提：安裝新工具時，它們常常進行更改，比如刪除或上傳文件、驅(qū)動程序和注冊表項，而這些配置常常由以前安裝的工具使用。這個問題主要出現(xiàn)在端點安全工具或必須直接安裝到系統(tǒng)上的工具中。

Cole表示，對于通過網(wǎng)絡部署的安全設備，問題相對不大。面對必須在本地安裝的基于主機或服務器的工具，組織應堅持使用單一供應商套件或工具，以便最大限度地避免影響另外供應商的安全工具。

4. 網(wǎng)絡可見性有限

Cole表示，較新的安全工具專注于構(gòu)建行為模型，以便更深入地了解網(wǎng)絡流量和行為，并使用這些信息來檢測異常活動。這些模型要達到效果，必須檢查和分析所有網(wǎng)絡流量。如果工具只看到一部分流量，模型就不會準確或有效。這個問題主要出現(xiàn)在網(wǎng)絡設備上，但如果在現(xiàn)有技術(shù)的前面安裝新的網(wǎng)絡設備，它可能會阻塞流量，并影響現(xiàn)有系統(tǒng)的可見性。如果新設備安裝在現(xiàn)有設備的后面，獲取的信息又很有限，毫無成效可言。

解決辦法是為每個虛擬局域網(wǎng)或網(wǎng)段實施網(wǎng)絡工具，這樣一個工具就可以全面了解它所保護的那部分網(wǎng)絡。

5. 告警事件誤報率增加

Cole表示，新的安全工具往往更專注于檢測攻擊，而不是專注于提供準確可靠的信息。因此，當多種安全工具整合后，需要對不同廠商設備的告警信息集中分析，這將增加安全人員的工作量，并增加誤報總數(shù)。解決辦法是，管理團隊需要利用先進的安全事件和事件管理系統(tǒng)，并關(guān)聯(lián)來自多個來源的數(shù)據(jù)，通過大數(shù)據(jù)和人工智能技術(shù)，實現(xiàn)海量報警的集中分析與快速響應。

6. 預期目標不合理

安全公司Optiv首席信息安全官Brian Wrozek表示，安全供應商通常會美化其產(chǎn)品的集成功能，或者沒有提及為達到所聲稱的結(jié)果必須具備的所有其他先決條件。這反過來會導致企業(yè)領(lǐng)導者為安全團隊設定無法滿足的整合預期目標。

Wrozek表示，相比安全防護類產(chǎn)品，企業(yè)的領(lǐng)導者更熟悉和業(yè)務相關(guān)的應用程序。他們知道使用 Salesforce或Zoom等應用程序可以得到什么，但不知道使用云訪問安全代理(CASB)、態(tài)勢感知、SOC平臺可以得到什么。因此，安全運營團隊有必要讓企業(yè)領(lǐng)導者更好地了解安全整合方案的種種限制和挑戰(zhàn)，而不是一味強調(diào)整合的好處。

7. 專業(yè)安全人才缺乏

任何安全領(lǐng)導者都知道專業(yè)人才缺失這個問題對于企業(yè)實現(xiàn)穩(wěn)定安全運營來說有多嚴重。幾乎在安全領(lǐng)域的各個方面，人才需求都遠大于供應。這包括整合各種安全工具和服務所需要的技能。Bissell表示，目前的一大挑戰(zhàn)是缺少這種訓練有素的員工：他們能夠管理整合安全工具的工作，并確定需要采取什么樣的行動。組織擁有的工具越多，越需要時間和專業(yè)知識，這常常很耗費資源。

參考鏈接：

https://www.csoonline.com/article/3649191/7-top-challenges-of-security-tool-integration.html