随着网络安全挑战的不断增长,企业需要不断应用新的安全工具和服务来应对安全威胁。一个关键的考量因素是,如何将这些产品(许多情况下由不同的供应商提供)的安全能力整合起来,实现整体化的安全运营与防护,以支持安全部门统一连贯的安全战略。
迁移到云使安全整合变得容易了一点,但如果组织试图打造强有力的系统来防范最新的威胁,可能仍然面临重重障碍。以下是企业在实现单点网络安全能力融合时,可能会面临的7重挑战,以及如何有效地克服这些挑战。
1.安全能力碎片化
一个常见的安全整合问题源于网络安全是个碎片化发展严重的行业,许多企业都部署了过多的安全产品和服务。IBM Security的产品管理副总裁Chris Meenan说:“大量不同的安全工具以及彼此之间缺乏互操作性是当今网络安全运营面临的最大挑战之一。每种新的安全工具都必须与其他数十种安全工具整合,因而带来了大量的定制集成,管理工作量相当大。”
埃森哲安全全球董事总经理Kelly Bissell表示,如今市场上有成千上万的网络安全工具,特性和功能各异。无论经验水平如何,任何安全领导者在为公司做出正确的安全选择时都很容易不知所措。
结果常常是企业安全基础设施由数十种甚至上百种不同的工具拼凑而成。如果引入新工具,但无法与其他平台或安全工具协同使用,就更难切实了解真实的威胁情况了。为此,组织需要进行一番清理,规范或整合网络安全工具。他们还应该选择几家核心供应商,砍掉其他供应商,最大限度地提升核心供应商的价值。这将节省许可和整合成本,同时简化IT环境。
2.安全产品标准化不足
Meenan表示,如今市面上的许多安全工具使用专有接口和数据交换语言。虽然现在许多企业提供开放式应用程序编程接口(API),但这些API不一定遵循相同的标准,因此仍需要特定的自定义代码来整合产品。此外,数据交换语言也没有标准化。
Meenan表示,多个安全社区正在努力解决这个互操作性问题,致力于开发更通用的数据模型、开放标准和开源工具,这些工具可在众多供应商和工具集当中通用。如果依赖通用API和数据模型,安全团队就能够更轻松地将一种工具换成另一种工具,最终更容易添加新工具,并缓解供应商锁定问题。
这种社区合作取得成效的一个典例是开放网络安全联盟(OCA)。这是一个跨行业的组织,由供应商、消费者和非营利组织组成,采用开放治理模式,致力于利用开源和开放标准来增强网络安全互操作性。
开放网络安全联盟之类的组织旨在将来自更广泛的安全社区参与者聚集在一起,以开放透明的方式帮助定义这些标准,社区负责开发、审核和反馈。许多公司现在可以开始关注基于开源工具和标准的软件,以减轻现在和将来在安全整合方面的负担。
3.应用环境复杂
网络安全专家Eric Cole是Secure Anchor Consulting的创始人兼首席执行官,他表示,安全工具常常需要通过访问系统或获取到网络流量才能正常使用,而添加新工具可能导致现有工具停止工作。这基于这样一个前提:安装新工具时,它们常常进行更改,比如删除或上传文件、驱动程序和注册表项,而这些配置常常由以前安装的工具使用。这个问题主要出现在端点安全工具或必须直接安装到系统上的工具中。
Cole表示,对于通过网络部署的安全设备,问题相对不大。面对必须在本地安装的基于主机或服务器的工具,组织应坚持使用单一供应商套件或工具,以便最大限度地避免影响另外供应商的安全工具。
4.网络可见性有限
Cole表示,较新的安全工具专注于构建行为模型,以便更深入地了解网络流量和行为,并使用这些信息来检测异常活动。这些模型要达到效果,必须检查和分析所有网络流量。如果工具只看到一部分流量,模型就不会准确或有效。这个问题主要出现在网络设备上,但如果在现有技术的前面安装新的网络设备,它可能会阻塞流量,并影响现有系统的可见性。如果新设备安装在现有设备的后面,获取的信息又很有限,毫无成效可言。
解决办法是为每个虚拟局域网或网段实施网络工具,这样一个工具就可以全面了解它所保护的那部分网络。
5.告警事件误报率增加
Cole表示,新的安全工具往往更专注于检测攻击,而不是专注于提供准确可靠的信息。因此,当多种安全工具整合后,需要对不同厂商设备的告警信息集中分析,这将增加安全人员的工作量,并增加误报总数。解决办法是,管理团队需要利用先进的安全事件和事件管理系统,并关联来自多个来源的数据,通过大数据和人工智能技术,实现海量报警的集中分析与快速响应。
6.预期目标不合理
安全公司Optiv首席信息安全官Brian Wrozek表示,安全供应商通常会美化其产品的集成功能,或者没有提及为达到所声称的结果必须具备的所有其他先决条件。这反过来会导致企业领导者为安全团队设定无法满足的整合预期目标。
Wrozek表示,相比安全防护类产品,企业的领导者更熟悉和业务相关的应用程序。他们知道使用Salesforce或Zoom等应用程序可以得到什么,但不知道使用云访问安全代理(CASB)、态势感知、SOC平台可以得到什么。因此,安全运营团队有必要让企业领导者更好地了解安全整合方案的种种限制和挑战,而不是一味强调整合的好处。
7.专业安全人才缺乏
任何安全领导者都知道专业人才缺失这个问题对于企业实现稳定安全运营来说有多严重。几乎在安全领域的各个方面,人才需求都远大于供应。这包括整合各种安全工具和服务所需要的技能。Bissell表示,目前的一大挑战是缺少这种训练有素的员工:他们能够管理整合安全工具的工作,并确定需要采取什么样的行动。组织拥有的工具越多,越需要时间和专业知识,这常常很耗费资源。