行業(yè)專家指出，融合輸出數據集和共享信息可以實時了解企業(yè)中的可疑活動。

[[286026]]

美國國家安全局總顧問Glenn Gerstell最近在《紐約時報》發(fā)表了一篇評論文章，描述了美國在二戰(zhàn)之后開發(fā)的國家安全系統(tǒng)如何可靠地對外國軍事發(fā)展(如發(fā)射導彈以及坦克、飛機、船只和潛艇的移動)發(fā)出預警。并將遙測數據與先進的監(jiān)視技術融合在一起，使美國對其安全性和可以應對的突發(fā)事件擁有一定的信心。雖然Gerstell提出了這個令人信服的論點，但事實已不再如此。Gerstell說，技術革命已經顛覆了美國國家安全基礎設施和機構的運行方式。

Gerstell并不是唯一一個這么思考的美國官員。美國中央情報局代理局長Joseph Hill也認為，網絡空間是美國國家安全最大的弱點。除了政府和軍方之外，美國安全機構最近對美國各種規(guī)模企業(yè)進行的一項調查發(fā)現，網絡安全是受訪者最關心的問題。

而美國在二戰(zhàn)之后戰(zhàn)略取得成功的原因是實時整合對外國軍事發(fā)展的信息。然而美國如今過于專注于尋求更好的技術，而不是整合所知道的信息。

是阻止安全漏洞的時候了

行業(yè)專家與一位首席信息安全官探討如何獲得批準采購15種工具來加強安全操作，但這位首席信息安全官對融合輸出數據集以實時了解企業(yè)的可疑活動卻知之甚少。

首席信息安全官關注的焦點應該是分析師，他們很難在每天的“貓捉老鼠”游戲中獲勝，并且不堪重負。分析師在應對大量事件的同時，還需要與過去的所見所聞聯系起來。而開展這些工作的組織都承認，這種策略會產生太多的干擾。太多的工具、大量威脅源以及疲憊不堪的分析師將會花費組織更多的成本，并且降低安全性。當行業(yè)組織選擇“工具化”而不是采取有紀律的管理和融合網絡情報的方法時，這種大規(guī)模的戰(zhàn)略變得更加低效并且成本高昂。必須重新制定戰(zhàn)略，將已有的工具結合起來，以確保自己的安全，而不是尋求獲得更好的技術和設備。

如何利用已擁有的東西

組織首先從安全團隊如何處理傳統(tǒng)的安全威脅開始，以將云中的生態(tài)系統(tǒng)組合在一起。通常分為三個階段。

第一階段。采用云計算技術的組織將來自內部系統(tǒng)的警報與外部情報提供商的警報融合在一起。這就要求在不中斷分析師工作流程的情況下，很容易將來自現有技術堆棧(SIEM、EDR、案例管理、編排)的輸出與來自內部資源的輸入進行整合。

第二階段。在安全相關活動中，除了安全操作外，還有欺詐和濫用。每一種都會導致組織內部和下游公司的安全問題。例如，賬戶接管(ATOs)不僅可以用于組織內部的惡意活動，還可能導致對手濫用賬戶攻擊他人。

第三階段。組織與其他公司聯系，交流有關其常見安全和欺詐挑戰(zhàn)的信息。這正是云計算技術擁有顯著優(yōu)勢的地方，因為組織根據各種需求選擇合作伙伴，從保護供應鏈到應對行業(yè)內部和行業(yè)之間的特定威脅。采用云計算允許公共機構和私營部門相互合作。組織不僅可以共享信息，還可以定義用例，并能夠快速、無縫地交換和分析數據。云計算還使組織能夠在其內部獲得洞察力和趨勢，以及與其他公司進行比較的方式。

一種新模式：洛杉磯網絡安全實驗室(LA Cyber​​Lab)

很多組織已經在轉變?yōu)榛谠朴嬎愕哪Ｐ停詫⑵鋬炔繑祿c外部威脅信息融合在一起。他們從安全事件管理系統(tǒng)到端點檢測和案例管理系統(tǒng)再到第三方情報等各種工具中獲取和豐富網絡情報。而成功的平臺結合了以下幾種功能：提取和規(guī)范化結構化和非結構化數據、權限和訪問管理、融合和充實數據，以及編輯敏感和專有信息。這個平臺還必須是可擴展的，以便組織可以在單獨的與安全相關的操作(例如安全操作中心、欺詐和組織內部以及組織之間的內部調查)之間融合數據。

洛杉磯市市長Eric Garcetti在今年9月啟動洛杉磯網絡安全實驗室(LA Cyber​​Lab)，以融合來自公共和私營部門、當地市政當局和消費者的數據。交換可疑事件數據將加快調查速度，識別趨勢，并最終提高安全性。它得到了洛杉磯市、美國國土安全部、IBM、創(chuàng)新技術平臺，以及洛杉磯一些商業(yè)領袖的支持。

洛杉磯的模式可以被復制，創(chuàng)造出包含可疑事件的融合數據的新生態(tài)系統(tǒng)。領導者應該認識到，威脅行為體在各個部門以及地方、州和聯邦政府之間制造和復制襲擊?；诓块T的共享模式仍然很重要，例如信息共享與分析中心(ISAC)和信息共享與分析組織(ISAO)。但洛杉磯的模式不同。當人們開始從互聯系統(tǒng)的角度考慮安全性，而不是在工具和部門之間孤立數據時，融合的潛在力量是巨大的。必須整合網絡情報系統(tǒng)，以實現網絡攻擊環(huán)境的全面可見性。