隨著網絡威脅的不斷增長和安全法規的日益嚴苛，全球網絡安全投資規模不斷創下新高。據Gartner預測，2024年全球組織在IT安全和風險管理工具上的投入將達到2087億美元。

然而，埃森哲(Accenture)的報告卻顯示，盡管投入巨資，超過七成(74%)的首席執行官對企業數據安全和網絡安全態勢缺乏信心。

數據安全的頭號難題：安全數據孤島

長期以來，人們普遍認為部署的安全解決方案越多，威脅防御能力就越強，但現實往往截然相反。事實上，五花八門的安全工具所產生的海量安全數據反而成了數據安全和網絡安全的一大挑戰，導致企業陷入被動防御的局面。

不斷擴大的攻擊面和激增的法規(例如PCI DSS4.0、NIST、FISMA等)使得安全態勢評估變得更加頻繁，進一步刺激了針對特定攻擊面和漏洞的各類安全工具的部署增長。然而，這些解決方案往往相互孤立，使得安全人員難以識別關鍵業務領域，評估漏洞的可利用性以及安全舉措和控制措施的有效性。打破安全數據孤島通常需要人工聚合和關聯數據，這會導致關鍵問題得不到及時解決。

IBM的2023年數據泄露成本報告顯示，67%的數據泄露是由第三方而不是內部資源發現的。歸根結底，企業的目標是提高檢測和響應速度，縮短攻擊者利用軟件或網絡配置漏洞的時間窗口。顯然，雖然企業坐擁大量安全(工具產生的)數據可幫助理解特定攻擊行為的上下文，但仍存在巨大的技術障礙需要克服。

安全數據ETL的局限性

安全監控會產生大量數據，但這些原始數據本身只是實現目標的一種手段。信息安全決策需要基于從安全數據中提取的可操作情報的優先級進行分析，這需要將大量安全數據與其對業務的重要性和組織風險進行關聯。

一部分網絡產品之間已經可以相互集成，這主要由廠商驅動，有時也得益于標準化工作。然而，更常見的安全集成方法是通過安全信息和事件管理(SIEM)解決方案從不同安全產品收集事件信息。然后，安全編排、自動化和響應(SOAR)平臺可根據對這些事件的分析來協調響應。盡管如此，并非所有安全數據都能被這些工具所提取，而且被利用的數據通常都是狀態化的。此外，屬性映射和情景化方面的問題往往會導致數據質量問題，進而引發人們對數據可靠性和真實性的擔憂。

安全網格的正確打開方式

安全網格架構(CSMA)的核心價值是安全工具的聚合與提升。安全人員能為工具建立更多的連接并通過安全網格間接協作，相互影響并提升彼此的功能。安全態勢可以跨越不同的安全產品，安全威脅情報也變得更加高效和具有預測性。

根據Gartner的研究，采用安全網格架構將安全工具集成到一個協作生態系統中的企業可以將單個安全事件的財務損失平均降低90%。

但是，如何在不增加太多成本或不徹底改變現有基礎設施的情況下實施安全網格呢?

認識到許多企業在運營其安全工具方面面臨挑戰，新一代安全網格技術廠商應運而生(例如Dassana、Avalor、Cribl、Leen、Monad、Tarsal)。他們提供的解決方案可以實現數據的標準化、添加組織上下文，并將數據歸屬到其合法所有者。這使得企業能夠提取關鍵情報，以縮短補救時間、提高安全團隊的生產力，并最終增強安全控制的有效性。

在評估安全網格解決方案廠商時，決策者應考慮以下核心選擇標準：

• 專業知識：安全網格是一個新興的技術領域，正吸引大量安全廠商入局，因此企業需要仔細評估廠商創始團隊成員和相關專家的專業知識。優先選擇那些曾經解決過管理不同安全工具數據流挑戰，并致力于顛覆安全數據ETL(提取、轉換、加載)過程的廠商。
• 安全數據的ETL法：要釋放安全網格的巨大潛力，就必須克服傳統ETL流程的限制。檢查廠商解決方案是否將所有數據整合到單個數據湖中。一旦完成數據整合，單個API就足以滿足需求，從而大大簡化運維工作。遵循這種方法，安全網格平臺可以將所有原始數據攝取到數據湖中，提供諸多優勢并實現更深入的洞察。這方面最值得關注的創新點是標準化流程的方法(將其視為內容問題而非映射問題)。
• 價值實現時間：你需要的絕不是另一個類似SIEM的工具，SIEM只負責聚合數據，剩下的繁重工作留給您自己去做。因此，評估安全網格產品需要重點關注它是否提供能立刻帶來價值的情景化輸出，是否支持用戶利用自助分析來查詢任何數據集，或者更有價值的是，利用本機應用程序來解決特定用例(例如，基于風險的漏洞和攻擊面管理、安全KPI和資源規劃、安全控制有效性管理))。

結論

傳統網絡安全方法需要從無數安全工具產生的數據洪流中提取價值信息，以加快緩解和修復速度，提高安全團隊的生產力，并最終增強安全控制的有效性。但是，這種方法通常成本高昂且耗時，而且需要大量定制開發工作。安全網格有望顛覆傳統安全方法并極大提升網絡安全投資回報率。