在尋找防御不斷增長的威脅方法時(shí)，企業(yè)在網(wǎng)絡(luò)安全工具和服務(wù)上的支出不斷增加。

這意味著許多CISO、CSO和其他高級管理人員可能會遇到工具泛濫的問題。對于更大、更分散的企業(yè)或經(jīng)歷過大量合并和收購的企業(yè)來說，這尤其令人擔(dān)憂。

“如今，安全團(tuán)隊(duì)在處理其生態(tài)系統(tǒng)中工具激增的問題時(shí)正面臨困境，”系統(tǒng)集成商Myriad360的現(xiàn)場CISO Jeremy Ventura表示，“威脅行為者利用AI等技術(shù)大幅增加了攻擊頻率，導(dǎo)致防御者部署了新的安全工具和服務(wù)以應(yīng)對威脅?！?/p>

此外，云服務(wù)的使用增加以及企業(yè)擁有、發(fā)送和接收的數(shù)據(jù)量也在不斷增長，Ventura說?！八羞@些因素都導(dǎo)致了供應(yīng)商泛濫的問題，因此需要進(jìn)行整合?！?/p>

最近的行業(yè)研究顯示，大量CISO希望優(yōu)先考慮安全解決方案和控制的整合或簡化。更好地處理安全工具泛濫問題可以帶來成本降低等好處，并且通過更精簡和高效的網(wǎng)絡(luò)安全程序增強(qiáng)安全性。

“對于企業(yè)來說，減少使用的供應(yīng)商數(shù)量以簡化管理和監(jiān)控是至關(guān)重要的，”IT服務(wù)提供商Infosys Cobalt的執(zhí)行副總裁Anant Adya說，“工具和服務(wù)的整合顯著減少了復(fù)雜性，并消除了數(shù)據(jù)存儲中的漏洞，使企業(yè)更容易受到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的影響?！?/p>

控制網(wǎng)絡(luò)安全工具的任何努力的重點(diǎn)是由CISO和其他安全領(lǐng)導(dǎo)者進(jìn)行監(jiān)督?！熬W(wǎng)絡(luò)安全工具需要得到有效管理，”托管服務(wù)提供商VPS Server的創(chuàng)始人Robert Bolder說，“首先要徹底清點(diǎn)每個(gè)網(wǎng)絡(luò)安全工具，并確保它們是最新的并且設(shè)置正確?！?/p>

以下是來自網(wǎng)絡(luò)安全實(shí)踐者和其他專家的一些建議，幫助企業(yè)解決安全工具泛濫的問題。

消除不再有效的工具

簡化安全工具堆棧的第一步應(yīng)該是徹底評估哪些工具仍然對你的安全防御有價(jià)值，畢竟，每個(gè)企業(yè)在某個(gè)時(shí)候都會為了某個(gè)特定目的部署安全工具，但后來由于情況變化，這些工具變得不再需要或不再有用。

所有控制和工具都應(yīng)該與降低超出企業(yè)容忍度的風(fēng)險(xiǎn)的概率或可能性相關(guān)聯(lián)，風(fēng)險(xiǎn)管理提供商Hyperproof的CISO Kayne McGladrey說。如果產(chǎn)品不再需要，就應(yīng)該淘汰。

McGladrey舉例說，他的一位CISO同事有一個(gè)即將到期的下一代防火墻續(xù)約?！霸O(shè)置防火墻的原因是為了減少數(shù)據(jù)泄露對業(yè)務(wù)的監(jiān)管風(fēng)險(xiǎn)，”他說，“然而，該業(yè)務(wù)已轉(zhuǎn)為主要在家辦公模式，因此下一代防火墻保護(hù)的是即將出售的空辦公空間。”

McGladrey表示，這位CISO在遠(yuǎn)程工作場景中找到了另一種解決數(shù)據(jù)外泄風(fēng)險(xiǎn)的方案，并與風(fēng)險(xiǎn)委員會合作確認(rèn)防火墻不足以管理風(fēng)險(xiǎn)。新方案更能滿足業(yè)務(wù)需求，且成本更低。

“任何無法與一個(gè)或多個(gè)風(fēng)險(xiǎn)聯(lián)系起來的控制措施都應(yīng)該受到審查，并可能因缺乏業(yè)務(wù)理由而從企業(yè)中移除。”McGladrey說。

利用分析評估工具資產(chǎn)

安全團(tuán)隊(duì)可以分析從安全工具中收集的數(shù)據(jù)，以確定哪些產(chǎn)品可以被淘汰，這些數(shù)據(jù)應(yīng)盡可能自動收集并可視化。

“當(dāng)我從事執(zhí)行顧問工作時(shí)，我的團(tuán)隊(duì)和我參與的一個(gè)項(xiàng)目涉及將來自幾十種不同技術(shù)的遙測數(shù)據(jù)整合到一個(gè)CISO的單一儀表板上，展示了控制組合如何有效地降低風(fēng)險(xiǎn)?！盡cGladrey說。

“矛盾的是，這個(gè)儀表板的好處在于，它使CISO能夠?qū)Ｗ⒂谑↑c(diǎn)，那些雖然存在但未被有效操作的控制措施，或經(jīng)常失敗的控制措施?！盡cGladrey說。

這使得CISO能夠在董事會層面討論特定業(yè)務(wù)部門未能有效操作某個(gè)工具的時(shí)間，或者數(shù)據(jù)如何顯示該工具經(jīng)常失效。操作困難或經(jīng)常失效的工具可能是淘汰的候選者。

通過自動化提升安全姿態(tài)

盡可能使用自動化也可以幫助安全領(lǐng)導(dǎo)者找到減少安全工具泛濫的機(jī)會。

“優(yōu)先考慮具有強(qiáng)大自動化功能的工具集，”安全和專業(yè)服務(wù)提供商Api Group的網(wǎng)絡(luò)防御運(yùn)營信息安全經(jīng)理Carl Lee說，“沒有自動化功能來整合警報(bào)、工單等，管理多個(gè)安全工具對較小的團(tuán)隊(duì)來說是困難的?！?/p>

“自動化是簡化安全運(yùn)營的關(guān)鍵，”金融服務(wù)提供商Block的安全工程師Prahathess Rengasamy說，“自動化重復(fù)性任務(wù)如補(bǔ)丁管理、威脅狩獵和事件響應(yīng)，以減少安全團(tuán)隊(duì)的負(fù)擔(dān)并最大限度地減少人為錯(cuò)誤?！?/p>

Rengasamy說，在Block實(shí)施自動化腳本以處理常規(guī)安全任務(wù)，使公司能夠重新分配資源到更具戰(zhàn)略性的項(xiàng)目上，從而顯著提升整體安全姿態(tài)。

深入挖掘以根除重復(fù)工具

許多企業(yè)安全工具泛濫的一個(gè)重要原因是存在重復(fù)工具。

企業(yè)因多種原因積累了重復(fù)工具，包括并購、部門孤立、缺乏連貫的安全計(jì)劃等。無論原因如何，花時(shí)間發(fā)現(xiàn)并消除重復(fù)工具有助于大大簡化和整合你的安全堆棧。

第一步是對已知工具及其角色進(jìn)行評估，The Stock Dork金融投資服務(wù)提供商的創(chuàng)始人Adam Garcia說，“分析當(dāng)前工具的相似性和差異，以及飽和領(lǐng)域和可能的重疊?！?/p>

Live Proxies是一家提供互聯(lián)網(wǎng)代理服務(wù)的公司，發(fā)現(xiàn)不同部門在執(zhí)行類似任務(wù)(如威脅檢測和網(wǎng)絡(luò)監(jiān)控)時(shí)使用了不同的工具，其聯(lián)合創(chuàng)始人兼CEO Jacob Kalvo表示，“通過將這些工具整合到一個(gè)更大、更強(qiáng)大的平臺中，我們降低了相關(guān)成本，簡化了運(yùn)營，同時(shí)增強(qiáng)了我們的安全態(tài)勢?！?/p>

Kalvo說，進(jìn)行使用中的所有工具和服務(wù)的審計(jì)是管理網(wǎng)絡(luò)安全工具的首要步驟?！叭缓螅憧梢蕴蕹哂嗪凸δ苤丿B的部分?！?/p>

對于較大的公司來說，購買和整合大量安全技術(shù)變得越來越普遍，“因此，這些企業(yè)可能會發(fā)現(xiàn)他們有多個(gè)產(chǎn)品或平臺提供相同的功能，”McGladrey說，“例如，我曾合作過的一個(gè)企業(yè)有四個(gè)獨(dú)立的產(chǎn)品提供端點(diǎn)檢測和響應(yīng)(EDR)，所有這些產(chǎn)品都向單一的安全事件和事件管理(SIEM)平臺報(bào)告數(shù)據(jù)?！?/p>

這為事件響應(yīng)團(tuán)隊(duì)生成了重復(fù)的報(bào)告，并產(chǎn)生了大量的誤報(bào)，“這增加了真正陽性結(jié)果被忽略的概率，”McGladrey說，“這種EDR產(chǎn)品的重疊是無意的，該企業(yè)最近完成了一次收購，其中一個(gè)供應(yīng)商擴(kuò)展到EDR，另一個(gè)供應(yīng)商收購了一個(gè)EDR解決方案?！?/p>

McGladrey說，好心的IT團(tuán)隊(duì)只是簡單地認(rèn)為更多是更好的，這被識別為業(yè)務(wù)的風(fēng)險(xiǎn)和重大成本低效問題，并在對重復(fù)功能進(jìn)行審查后得以解決。

考慮盡可能使用統(tǒng)一的平臺

統(tǒng)一的安全平臺可以幫助安全計(jì)劃整合工具集，這些產(chǎn)品套件提供了以前獨(dú)立的功能，如身份驗(yàn)證和驗(yàn)證、用戶權(quán)限、特權(quán)訪問和分析。

Api Group的Lee說，“在合適的情況下使用統(tǒng)一平臺。根據(jù)你首選的安全工具集，一些供應(yīng)商提供的統(tǒng)一平臺可以將服務(wù)整合到一個(gè)工具集中?！?/p>

The Stock Dork的Garcia說，“整合的好處在于，應(yīng)該為安全總體上以及特別是安全事件管理尋求統(tǒng)一的儀表板或集中管理控制臺?！?/p>

Garcia說，“根據(jù)我的經(jīng)驗(yàn)，將端點(diǎn)安全解決方案整合到一個(gè)平臺中，不僅減少了所需許可證的數(shù)量，而且還增強(qiáng)了端點(diǎn)可見性和威脅檢測能力?！?/p>

Myriad360的Ventura說，對于某些企業(yè)來說，轉(zhuǎn)向“合理化”概念可能是有意義的。“將工具合理化到一個(gè)供應(yīng)商下，可以幫助將多個(gè)安全警報(bào)整合到一個(gè)儀表板中，節(jié)省檢測和響應(yīng)事件的時(shí)間。”他說。

此外，合理化可以幫助減少供應(yīng)商管理問題。“對于某些企業(yè)來說，一個(gè)支持團(tuán)隊(duì)和一個(gè)合同是理想的選擇。”Ventura說。

培養(yǎng)利用工具整合的文化

如果員工在安全使用設(shè)備以及使用最新安全工具方面得到更好的培訓(xùn)，企業(yè)是否需要更少的安全工具?也許是，但無論哪種方式，讓所有員工了解最新的威脅和漏洞，并讓安全人員了解如何使用最新的技術(shù)，都是一個(gè)好主意。

為此，Live Proxies 創(chuàng)建了一種持續(xù)改進(jìn)和培訓(xùn)的文化，Kalvo 說?！拔覀冊?SIEM 解決方案中集成了防火墻、入侵檢測系統(tǒng)、殺毒系統(tǒng)等安全產(chǎn)品，”他說，“這不僅簡化了我們的安全架構(gòu)，還為我們的網(wǎng)絡(luò)提供了‘單一視角’的監(jiān)控能力，使我們能夠快速且明智地做出決策?！?/p>

但即使是最好的工具，如果使用不當(dāng)也無法發(fā)揮作用，Kalvo 說。“這就是為什么在 Live Proxies，我們定期培訓(xùn)員工使用新工具，并確保我們使用的安全工具始終保持最新，包括安裝最新的補(bǔ)丁和最新的功能，”他說，“這使我們的團(tuán)隊(duì)能夠在新危險(xiǎn)出現(xiàn)時(shí)保持領(lǐng)先地位，并確保我們對安全投資的最大回報(bào)?！?/p>

Block 的 Rengasamy 說，在工具整合過程中，明智的做法是讓所有相關(guān)利益相關(guān)者參與其中，包括 IT、安全和業(yè)務(wù)部門。“提供培訓(xùn)，確保團(tuán)隊(duì)熟練使用整合后的工具并了解新的工作流程?！彼f。

在其整合計(jì)劃期間，Block 舉辦了跨職能研討會，使利益相關(guān)者在新工具和流程上達(dá)成一致?！斑@種協(xié)作方法確保了平穩(wěn)過渡，并培養(yǎng)了持續(xù)改進(jìn)的文化。”Rengasamy 說。