你應該聽說過這個事實，現(xiàn)在網(wǎng)絡基礎設施和運營團隊以及信息安全團隊的合作比以往任何時候都多。在我的研究實踐中，我開始將此稱為NetSecOps協(xié)作。

這種合作變得越來越普遍的原因之一是數(shù)據(jù)。安全團隊出于某種原因需要網(wǎng)絡流量數(shù)據(jù)，并且需要網(wǎng)絡團隊的幫助來獲取這些數(shù)據(jù)。Enterprise Management Associates (EMA) 最近根據(jù)對366名IT專業(yè)人員的調查發(fā)布了關于NetSecOps協(xié)作的研究報告。其研究發(fā)現(xiàn)，安全團隊需要分析網(wǎng)絡數(shù)據(jù)，這導致83%的企業(yè)增加了NetSecOps協(xié)作。

[[438821]]

通常，網(wǎng)絡團隊樂于提供幫助，但數(shù)據(jù)共享可能很困難。近63%的研究參與者表示，他們?yōu)閮蓚€團隊之間不一致和相互沖突的數(shù)據(jù)而苦惱，近57%的人為與數(shù)據(jù)相關的跨團隊技能差距而苦惱。

一家價值150億美元的零售公司的網(wǎng)絡架構師說：“共享數(shù)據(jù)的過程有時效果很好，有時效果不佳，因為安全團隊對他們的要求沒有明確的想法。他們會說，‘請向我展示來自網(wǎng)絡服務器的數(shù)據(jù)。’我需要問，‘哪個網(wǎng)絡服務器，因為我們有很多網(wǎng)絡服務器?你想在云端還是數(shù)據(jù)中心看到網(wǎng)絡服務器?’有時，我們很難與他們溝通。”

如何與安全團隊共享流量數(shù)據(jù)

大約一半的網(wǎng)絡團隊允許安全團隊直接訪問網(wǎng)絡數(shù)據(jù)源，大約22%提供基于角色的訪問，28%提供管理訪問。這使安全團隊能夠自行獲取數(shù)據(jù)。不過，如果他們不知道他們在尋找什么以及如何找到它，他們可能仍然需要網(wǎng)絡團隊的幫助。

30%的網(wǎng)絡團隊設置了他們的系統(tǒng)，以便將網(wǎng)絡數(shù)據(jù)自動轉發(fā)到安全分析服務。這消除了與這個過程相關的通信問題。近19%的企業(yè)要求安全團隊向網(wǎng)絡團隊提出單獨的網(wǎng)絡數(shù)據(jù)請求。

網(wǎng)絡數(shù)據(jù)包代理可以促進這種數(shù)據(jù)共享。這些設備位于內聯(lián)或帶外，其中它們會聚合鏡像或生產流量，過濾流量、向數(shù)據(jù)包添加元數(shù)據(jù)并將專用數(shù)據(jù)包流轉發(fā)到單獨的分析工具。

在參與EMA調查的IT專業(yè)人員中，90%的受訪者表示，網(wǎng)絡數(shù)據(jù)包代理對于促進網(wǎng)絡和安全團隊之間的協(xié)作很重要。網(wǎng)絡團隊通常會操作它們，但他們可以為安全團隊提供基于角色或管理的訪問權限，從而使安全人員能夠將他們想要的任何流量轉發(fā)到他們的工具。

數(shù)據(jù)包捕獲硬件是協(xié)作的另一個重要紐帶。網(wǎng)絡和安全團隊通常維護自己的數(shù)據(jù)包捕獲資源。例如，安全分析工具可能有自己的集成數(shù)據(jù)包捕獲資源。網(wǎng)絡團隊可能會維護一個大型數(shù)據(jù)包捕獲陣列，從更大的網(wǎng)絡接口集收集數(shù)據(jù)，以便擁有更豐富的數(shù)據(jù)集進行分析。

因此，即使有自己的抓包資源，安全團隊在某些情況下仍然需要網(wǎng)絡團隊的幫助。出于這個原因，很多企業(yè)正在考慮整合數(shù)據(jù)包捕獲資源。EMA研究發(fā)現(xiàn)，97%的受訪者對至少部分整合網(wǎng)絡和安全團隊之間的數(shù)據(jù)包捕獲資源感興趣。

安全團隊如何使用流量數(shù)據(jù)

EMA要求受訪者確定安全團隊正在如何處理他們從網(wǎng)絡中提取的流量數(shù)據(jù)。超過69%的企業(yè)將流量提供給網(wǎng)絡檢測和響應或網(wǎng)絡流量分析工具，這是一種新型安全監(jiān)控服務，可對流量進行深度分析，以識別異常和威脅。

近58%的安全團隊需要流量數(shù)據(jù)來幫助他們完成事件響應流程。他們檢測到安全問題，他們需要從流量數(shù)據(jù)中得到答案。而超過55%的企業(yè)在進行實時數(shù)據(jù)包負載分析。例如，他們正在尋找數(shù)據(jù)包中的惡意軟件，或者他們正在尋找從網(wǎng)絡中泄露的敏感數(shù)據(jù)。

如果你的企業(yè)正在嘗試改進NetSecOps協(xié)作，那么數(shù)據(jù)是很好的起點。尋找更容易在團隊之間共享高質量數(shù)據(jù)的方法，尤其是可以彌合兩個團隊之間技能差距的方式。