3min. read

这并不是说要事无巨细,无所不包,而是说要取您所需, 利用合适的人员、流程和技术来帮助您改善网络安全成效。

近年来,各种规模的企业一直在从不同的设备、日志和服务中收集日益增长的 流量和应用遥测数据。其中大部分用于为制定运营和战略决策提供信息。然 而,这些数据也有可能显著增强企业的安全态势,但前提是它们必须得到有效 处理和使用。

为了加强网络安全,企业可以并且确实收集了大量数据,以了解其环境中正在发生的事情。这些数据来自日志文 件、系统事件、网络流量、应用、威胁检测系统、情报源以及无数其他来源。然而,由于企业希望从收集的信息中 提取价值,以便为制定安全策略、开展威胁检测和执行风险缓解提供信息,因此,这些庞大的数据量可能会带来重 大挑战。

如果您的系统无法处理您收集的数据,企业相关人员将无法从中了解并关联正在发生的事情。在这种情况下,您的 确只是拥有一些不活跃的日志。促使挑战升级的事实在于,收集的数据通常以某种方式被孤立,而这种方式可能使 安全专业人士无法将各个点连接起来以识别潜在问题。分析师不必查看 25 个不同的屏幕来尝试手动连接,这会花 费额外的时间和精力,从而分散注意力,导致难以达成实际识别威胁的主要目标。

网络安全行业为我们打造了当下这个世界,其中有许多不同的单点解决方案,以至于企业实际上被迫成为“管道 工”,负责将所有这些不同的解决方案连接在一起。我认为是时候开始思考如何找到一种更加自动化且集成的连接 方式了,因为人们使用的大量工具的设计方式从未具有过互操作和协同工作能力。

通过自动化和剧本从数据挖掘更大价值

收集正确的数据并从中提取最高价值不是一项单独的任务或操作。相反,这是一个涉及多方面配合的过程。

技术。 从技术的角度,看看您实际已经拥有了什么。首先,这些工具是否能够真正识别现代威胁?如果不能,那么 您将面临挑战,因为您可能不会收集任何日志和遥测数据来切实帮助企业做出明智的决策。

自动化在从数据中提取更多价值方面也发挥着重要作用。随着收集的数据量持续增加,即使所有数据均正确无误, 个人也很难跟上节奏。从关联和丰富简单日志数据并提供见解的数据中自动识别价值更高的事件是一个关键步骤。

人员。 自动化直接关系到人员能否从数据中获取最大价值。许多企业都拥有配备了 IT 专业人士的安全运营中心 (SOC),他们每天轮班工作 8 小时,随时点击刷新并简单查看日志。这并不能真正帮助他们找到任何东西。

更糟糕的是,第一道防线和数据分析工作通常由一级分析师把控和完成,在单调地筛选无尽的日志并决定需要升级 的内容后,他们通常不到一年便会感到精疲力尽。思考一下这个逻辑:经验最少、薪水最低的员工实际上是负责打 电话将事件通报给上级的人员。这毫无意义,是时候改变这种模式了。

当利用自动化来处理海量数据时,这种方法成为了决定哪些内容需要升级的第一道防线,这样我们的员工才可以专 心应对威胁搜寻等更为复杂的挑战。威胁搜寻专家的工作负担越少,我们就越容易开始链接所有不同的数据源,从 而帮助企业追踪潜在风险,而不仅仅是筛选警报和大型日志。

流程。 最后,流程是持续改进和始终优化数据价值的关键。我们始终需要返回绘图板,并持续完善已经存在的数据 和技术。企业需要继续创建剧本以帮助实现自动化。对于任何可重复的任务,企业都应该尽可能地实现自动化。

使用所有可用于现代企业的安全数据源,可能很难弄清