您可能已经听说过将安全性向左转移的想法:随着开发人员将更多精力转移到云上,安全专业人员正在向上游(或向左)寻找启动开发流程的位置。 从开发到Q / A再到生产(向右移动)的过程中,对端到端安全性有了更多的基础思考。
让我们更进一步,讨论新的东西–“向左滑动”安全性。
在最高级别,安全行业正在努力并行解决两个关键问题:
- 收集正确的数据
- 快速评估
第一个问题与围绕“安全分析”的主题不断增长有关–面包屑可帮助我们了解是否存在需要我们投入时间和精力的实际安全事件。 今天,任何企业的攻击面都比以往任何时候都大。 您必须在数据包级别查看网络流量。 您必须查看服务器,应用程序和用户日志; 并且您必须查看已启动的命令和过程。 您还必须涵盖所有环境:场所中的裸机,虚拟化,容器和公共云。
第二个问题是,即使你看到了正确的数据或安全分析结果,如何快速评估警报的价值?如今大多数安全团队都会告诉你,他们被海量数据淹没,误报过多,而且疲于应对太多低级别警报。传统的 SIEM这样一来,你一天可能会收到 3,000 条警报,而处理这么多警报就成了人力规模的问题。
我喜欢将安全性分析视为在充满麻烦的大海捞针中进行筛选,理想情况下,您希望越来越擅长于通过大海捞针进行筛选。 任何使您每天都能收紧安全姿势的产品都是您想要的。 此功能不只是来自机器学习或“ AI”的大肆宣传,它还可以通过查看所有警报并询问“是否与这些相关?”来获得。
让我们举一个简单的例子,假设史蒂夫(Steve)在凌晨4点登录到服务器(并且我之前从未登录过),我的IP地址来自泰国,但是我位于旧金山,而我启动的应用不是我之前启动过的应用程序。 这些单独的警报可能被认为是噪音,但是当一起查看时,您会看到一种模式,该模式可以证明正在发生违规!
那么,如何在不增加已经过高的安全警报数量的情况下收集越来越多的数据呢? 为了深入了解我上面提到的每个环境,您需要将业界最广泛的安全数据收集引擎与自动化技术相结合,以丰富数据收集并关联看似嘈杂的低级警报并表明它们实际上是相关的。
您如何帮助安全分析人员通过自动化扩展规模,使他们看到一个简单的“红色”或“绿色”突出显示,他们只需向左滑动即可拒绝警报,或者向右滑动即可接受警报并深入了解问题? 理想情况下,安全分析师不必每天检查3,000条警报,而是每天检查XNUMX条警报,这样就可以将调查和触发自动响应设置为策略。
这种想法就是越来越多的人称其为托管检测和响应服务-MDR即服务。 利用自动化来帮助您的团队扩展并为您的客户提供前瞻性价值。
