如何通過互聯(lián)性的方法提升威脅管理水平?
威脅管理框架通常用于評估和管理您為了檢測和響應(yīng)網(wǎng)絡(luò)威脅所采取的一切措施。該框架涵蓋人員、流程和技術(shù),而若要實(shí)現(xiàn)高效的威脅管理,所有這三者應(yīng)達(dá)到無縫協(xié)作。
當(dāng)然,這一點(diǎn)說起來容易做起來難。如果僅從威脅管理的技術(shù)層面來看,顯然會(huì)發(fā)現(xiàn)很多東西。這反映了網(wǎng)絡(luò)安全的總體情況:組織平均使用多達(dá) 10 個(gè)不同提供商的 25 至 49 種不同的工具。這種情況帶來了額外的復(fù)雜性,而且導(dǎo)致一些組織已采取工具合理化措施,以便更好地了解他們從每種工具中實(shí)現(xiàn)的優(yōu)勢、工具之間可能存在的重疊之處以及可能存在的差距。不過,即使執(zhí)行了這類操練,采取更少或更多不同的單點(diǎn)解決方案也并非最佳之選。
高效威脅管理的挑戰(zhàn)
太多不可執(zhí)行的威脅情報(bào)
威脅情報(bào)本身與令威脅情報(bào)在組織范圍內(nèi)可執(zhí)行的因素之間存在脫節(jié)。在當(dāng)今威脅訂閱源非常豐富的情況下,收集威脅情報(bào)并不是問題所在,不過威脅的數(shù)量卻令安全分析人員難以確定需要優(yōu)先處理的關(guān)注事項(xiàng)。我最近與某位安全主管的對話很好地總結(jié)了這一挑戰(zhàn)。他說,他們組織采取的一項(xiàng)重大舉措是實(shí)施“托管威脅情報(bào)”,具體來說就是向團(tuán)隊(duì)提供經(jīng)過優(yōu)先排序的威脅情報(bào),而不是提供所有可用的威脅情報(bào)。
在去中心化的分布式數(shù)據(jù)中尋找洞察力
Forrester Consulting 于 2019 年受 IBM 委托進(jìn)行的調(diào)研結(jié)果顯示:隨著安全和 IT 工具數(shù)量的增加,數(shù)據(jù)量及其位置的數(shù)量也隨之增加。大多數(shù)組織已經(jīng)開始使用內(nèi)部解決方案和多云部署,即使他們可能尚未意識到這一點(diǎn)。此外,數(shù)據(jù)本身要么不統(tǒng)一,要么不可預(yù)測。因此,如果分析人員或威脅捕獲人員需要在組織環(huán)境中查找某種類型的威脅指示器,就會(huì)難以跨孤立的數(shù)據(jù)源進(jìn)行搜索,而且這個(gè)過程非常耗時(shí)。此外,隨著每個(gè)新數(shù)據(jù)源的添加,只會(huì)增加集成成本和復(fù)雜性。過去,組織一直希望通過集中式數(shù)據(jù)湖來解決這一問題,但是隨著數(shù)據(jù)量、成本和準(zhǔn)確性要求的不斷提高,尤其是在多云和端點(diǎn)平臺(tái)之中,這種方法所能實(shí)現(xiàn)的成功變得非常有限。
缺乏熟練的資源來管理威脅數(shù)量
如今,缺乏熟練的網(wǎng)絡(luò)安全分析人員已經(jīng)不再是什么秘密了,而且每個(gè)企業(yè)都在從同一個(gè)人才庫中挖掘人才。此外,從分析人員到首席信息安全官 (CISO),即便所有安全專業(yè)人員承受著巨大壓力,也無濟(jì)于事。負(fù)責(zé)威脅管理及優(yōu)先排序的人員數(shù)量與事件響應(yīng)人員數(shù)量之間的脫節(jié),導(dǎo)致組織無法達(dá)到他們對自身威脅計(jì)劃的預(yù)期。
本質(zhì)上,這些挑戰(zhàn)中的每一個(gè)都與某種脫節(jié)有關(guān):威脅情報(bào)與組織脫節(jié),數(shù)據(jù)分散在不同的工具和孤島之中,并且工作所需資源的供需不匹配。
轉(zhuǎn)變?yōu)榛ヂ?lián)式威脅管理方法
我們需要一種不同的威脅管理方法,而不是在沒有人員能夠高效使用威脅訂閱源或工具的情況下,繼續(xù)添加更多威脅訂閱源或其他工具。轉(zhuǎn)換為更具互聯(lián)性的方法的方式之一是著重于一對多集成,而不是增減單個(gè)工具。使用能夠最大限度利用現(xiàn)有安全解決方案和數(shù)據(jù)源的功能,有助于組織以多種方式推進(jìn)其威脅管理計(jì)劃。
通過量身定制的威脅情報(bào)提升識別效率
如果威脅情報(bào)源與您組織的相關(guān)信息(例如所屬行業(yè)、地理位置)相關(guān)聯(lián),則可以根據(jù)它們與業(yè)務(wù)的相關(guān)性自動(dòng)對其進(jìn)行優(yōu)先排序。如此便可減少分析人員需要評估的情報(bào)數(shù)量。此外,通過與現(xiàn)有環(huán)境的關(guān)聯(lián),您可以更快、更輕松地查看組織中是否確實(shí)存在某個(gè)相關(guān)威脅,以及是否需要進(jìn)行更多調(diào)查或立即做出響應(yīng)。
通過合并的搜過功能來改善可視性、縮短響應(yīng)時(shí)間
如果搜索功能可以位于所有安全工具和數(shù)據(jù)源之上并與之連接,則安全運(yùn)營中心 (SOC) 的分析人員便無需深度探索每個(gè)工具和數(shù)據(jù)源來尋找感染指標(biāo) (IoC)。互聯(lián)在這里很關(guān)鍵,因?yàn)閷⑺袛?shù)據(jù)遷移到單個(gè)位置會(huì)帶來成本和復(fù)雜性。通過連接數(shù)據(jù)而不必移動(dòng)數(shù)據(jù),安全分析人員便可在調(diào)查威脅時(shí)節(jié)省時(shí)間、獲得可視性并提高效率。
通過嵌入式自動(dòng)化釋放分析人員的精力,使其投入到更高價(jià)值的任務(wù)
如果將自動(dòng)化功能嵌入到您的安全功能中,則可以幫助安全分析人員免于執(zhí)行手動(dòng)、重復(fù)任務(wù),進(jìn)而使其可以專注于更高價(jià)值的責(zé)任,例如主動(dòng)威脅捕獲。此外,借助既與其他安全工具相連又與更廣泛的 IT 工具相連的自動(dòng)化,可以幫助企業(yè)改善和加快事件響應(yīng)流程并編排整個(gè)企業(yè)的行動(dòng)。
互聯(lián)式威脅管理方法可以幫助組織實(shí)施更有效的計(jì)劃。借助 IBM Cloud Pak for Security,我們可以實(shí)現(xiàn)數(shù)據(jù)和工作流的互聯(lián),更輕松地實(shí)現(xiàn)互聯(lián)式威脅管理。
