Image
全國統一服務熱線
0351-4073466

數據孤島:安全運維面臨的最大挑戰

編輯:2023-06-21 15:07:13

設備多樣性、云應用、遠程辦公、日益復雜的軟件供應鏈,無一不在顯著擴大當今的攻擊面。但盡管安全運營投資年年漲,大多數企業卻僅能投入資源解決自身環境里數百萬事件中的10%。

數世咨詢指出,安全與風險主管需要講求實際,關注可能給企業帶來最大風險的那一小部分暴露。安全團隊已經擁有了支持風險驅動的漏洞優先級排序所需的情報,但若想充分利用已有洞察的全部潛力,他們必須先打破現有數據孤島造成的障礙。
從自治網絡和漏洞掃描器到人工電子表格,數據生態中的所有東西都在產生數據。各團隊必須了解每個要素在優先級決策過程中發揮的作用,想要探索每種資源的優勢、弱點和機會,就需要考慮威脅和暴露管理生命周期。以下是安全運維(SecOops)面臨的4大數據孤島:

01

網絡資產管理


有很多方法可以創建所有資產及其相關風險態勢的綜合清單:電子表格、“傳統”網絡掃描器和IT資產管理工具以及網絡資產攻擊面管理(CAASM)平臺。

然而,取決于所選方法,團隊可能只關注“傳統”攻擊面,而沒有全面考慮分隔良好的典型去中心化多云現代網絡中存在的一切。盡管這一領域進展不斷,但仍建立在基于狀態的即時洞察上。因此,缺乏對攻擊行為的洞察影響到了其整體有效性。

02

威脅檢測與響應


另一方面,威脅檢測與響應工具分析網絡、用戶和機器行為,旨在幫助企業從對手的視角了解自身攻擊面。雖然安全信息與事件管理(SIEM)系統的數據質量相當可觀,但警報過載令團隊極其難以梳理并抽取出最相關的信息。

威脅檢測與響應平臺通常只監測“已知”資產的更改,而最大的威脅在于對未知資產的更改。所以,盡管在快速響應和修復方面取得了長足的進步,但這些平臺還是發現不了典型軟件漏洞和錯誤配置之外的暴露。咨詢公司Gartner預測,到2026年,未修復攻擊面將從2022年不足企業總暴露的10%上升到超過一半。

03

第三方情報


有幾種方法可以衡量漏洞的潛在影響和可利用性,例如通用漏洞評分系統(CVSS)、漏洞利用預測評分系統(EPSS)和供應商特定的評分系統,CVSS是最常見的漏洞優先級排序方法。

只依賴第三方指導的最大風險在于沒考慮到企業的特殊需求。比如,安全團隊仍然不得不確定一堆“高?!甭┒矗ㄈ鏑VSS評分9.0+)中到底優先修復哪些。

這種情況下,僅僅依靠這些定量方法是不可能作出明智決策的。資產所處位置等因素有助于團隊確定漏洞在公司環境中的可利用性,而其相互關聯可使團隊能夠了解波及范圍或整個潛在攻擊路徑。

04

業務洞察


從配置管理數據庫(CMDB)到控制措施,從依賴關系映射到數據湖,如果沒有內部業務跟蹤系統,這份資源清單就不完整。這些資源都是排序威脅和暴露優先級的重要參考,因為它們能夠展示設備和漏洞之間的聯系以及整體業務關鍵性和依賴關系映射。

但盡管充實豐富,定制數據庫卻需要大量人工操作才能實現并保持更新。因此,考慮到現代企業環境變更的速度,這些定制數據庫很快就會過時,不再能夠準確探查安全態勢的變化。

盡管上述每種數據源都有其自身的用途,能提供獨特的寶貴洞察,但沒有哪一種能獨自挑起勘破當今復雜威脅形勢的重擔。也就是說,如果能綜合使用,這些數據源非常強大,能夠全面揭示有利位置,使團隊能夠作出更好、更明智的決策。

推動風險知情決策所需的很多有價值洞察要么遺失在企業技術堆棧孤島中,要么阻塞在相互沖突的團隊和流程之間。盡管現代企業環境需要安全同步跟進,但沒有哪個工具或團隊可以獨立修復這一割裂的過程。




數世點評

安全主管需要根據自己的首主要例調整網絡資產情報。調整方式可以是根據第三方情報、業務上下文和資產關鍵性來安排漏洞優先級排序過程,或者按照NIST網絡安全框架和CIS關鍵安全控制措施集(CIS Critical Security Controls)等特定控制框架使用其安全數據,推進有效的安全改善計劃。

— 【 THE END 】—

文章來源:彼得研究院

Image
Image
版權所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團