数据孤岛:安全运维面临的******挑战
编辑:2023-06-21 15:07:13
设备多样性、云应用、远程办公、日益复杂的软件供应链,无一不在显著扩大当今的攻击面。但尽管安全运营投资年年涨,大多数企业却仅能投入资源解决自身环境里数百万事件中的10%。
01 网络资产管理
有很多方法可以创建所有资产及其相关风险态势的综合清单:电子表格、“传统”网络扫描器和IT资产管理工具以及网络资产攻击面管理(CAASM)平台。
然而,取决于所选方法,团队可能只关注“传统”攻击面,而没有******考虑分隔良好的典型去中心化多云现代网络中存在的一切。尽管这一领域进展不断,但仍建立在基于状态的即时洞察上。因此,缺乏对攻击行为的洞察影响到了其整体有效性。
02 威胁检测与响应
另一方面,威胁检测与响应工具分析网络、用户和机器行为,旨在帮助企业从对手的视角了解自身攻击面。虽然安全信息与事件管理(SIEM)系统的数据质量相当可观,但警报过载令团队极其难以梳理并抽取出***相关的信息。
威胁检测与响应平台通常只监测“已知”资产的更改,而******的威胁在于对未知资产的更改。所以,尽管在快速响应和修复方面取得了长足的进步,但这些平台还是发现不了典型软件漏洞和错误配置之外的暴露。咨询公司Gartner预测,到2026年,未修复攻击面将从2022年不足企业总暴露的10%上升到超过一半。
03 第三方情报
有几种方法可以衡量漏洞的潜在影响和可利用性,例如通用漏洞评分系统(CVSS)、漏洞利用预测评分系统(EPSS)和供应商特定的评分系统,CVSS是***常见的漏洞优先级排序方法。
只依赖第三方指导的******风险在于没考虑到企业的特殊需求。比如,安全团队仍然不得不确定一堆“高危”漏洞(如CVSS评分9.0+)中到底优先修复哪些。
这种情况下,仅仅依靠这些定量方法是不可能作出明智决策的。资产所处位置等因素有助于团队确定漏洞在公司环境中的可利用性,而其相互关联可使团队能够了解波及范围或整个潜在攻击路径。
04 业务洞察
从配置管理数据库(CMDB)到控制措施,从依赖关系映射到数据湖,如果没有内部业务跟踪系统,这份资源清单就不完整。这些资源都是排序威胁和暴露优先级的重要参考,因为它们能够展示设备和漏洞之间的联系以及整体业务关键性和依赖关系映射。
但尽管充实丰富,定制数据库却需要大量人工操作才能实现并保持更新。因此,考虑到现代企业环境变更的速度,这些定制数据库很快就会过时,不再能够准确探查安全态势的变化。
尽管上述每种数据源都有其自身的用途,能提供独特的宝贵洞察,但没有哪一种能独自挑起勘破当今复杂威胁形势的重担。也就是说,如果能综合使用,这些数据源非常强大,能够******揭示有利位置,使团队能够作出更好、更明智的决策。
推动风险知情决策所需的很多有价值洞察要么遗失在企业技术堆栈孤岛中,要么阻塞在相互冲突的团队和流程之间。尽管现代企业环境需要安全同步跟进,但没有哪个工具或团队可以独立修复这一割裂的过程。
数世点评 安全主管需要根据自己的首主要例调整网络资产情报。调整方式可以是根据第三方情报、业务上下文和资产关键性来安排漏洞优先级排序过程,或者按照NIST网络安全框架和CIS关键安全控制措施集(CIS Critical Security Controls)等特定控制框架使用其安全数据,推进有效的安全改善计划。
文章来源:彼得研究院
咨询热线:0351-4073466?
地址:(北区)山西省太原市迎泽区新建南路文源巷24号文源公务中心5层
? ? ? ? ? ?(南区)太原市小店区南中环街529 号清控创新基地A座4层