Gartner 近期 发现 一般而言,企业在其终端、网络、云、身份、电子邮件和基础设施领域使用 45 种不同的安全产品。
每种工具都承诺提供更全面的覆盖、更快的检测或更低的风险,而且单独来看,其中许多工具确实能够兑现这些承诺。但当它们全部组合在一起时,最终得到的却是一个操作更复杂、响应更慢、而且比它旨在阻止的威胁本身更脆弱的系统。
理论上,更多的工具应该意味着更强的安全性,但实际上,每个平台都会增加另一个数据模型、另一个仪表板、另一个警报流和另一个工作流程,分析师必须在压力下协调这些内容。
这些工具往往集成不顺畅,数据流不流畅,警报也不会自动排序。久而久之,这种复杂性不再是副作用,而是主要风险。
工具泛滥的根源何在?
工具蔓延通常是长期决策累积的结果:
新的威胁类别出现,于是添加了相应的解决方案。合规性要求发生变化,于是引入了新的平台。团队通过收购获得了工具,等等。不同的安全职能部门会选择针对自身领域进行优化的最佳产品。每个决策单独来看似乎都合理,但问题在于这些工具并非设计为作为一个统一的系统运行。
大多数安全平台以不同的格式收集遥测数据,应用各自的架构,并通过不同的控制台显示警报。即使存在集成,这些集成也往往不够深入、脆弱或单向。最终结果是分析人员必须手动将各种互不相连的信号拼凑在一起。
当每种工具都使用不同的语言时,安全团队就无法将攻击视为一个单一的、相互关联的序列。这种碎片化会导致三个相互叠加的故障,从而削弱检测和响应能力:
- 孤立的数据: 信号被困在不同的系统中,因此即使可疑的身份登录、异常的网络流量和被标记的端点进程属于同一攻击链,也很难将它们联系起来。
- 警报过载: 分析师们在控制台和队列之间来回切换,被各种嘈杂的警报淹没,这些警报没有上下文,也没有共同的语言。
- 运行阻力: 每一种工具都需要额外的培训、调优、维护、许可和供应商管理。因此,复杂性并非线性增长,而是成倍增长。
你已经在支付的隐性成本
这些结构性问题会转化为财务和运营方面的后果,而安全供应商的账单仅仅反映了部分情况。工具泛滥的真正成本隐藏在预算未列明的方面,例如:
分析师们因繁琐的工作而精疲力竭
诸如警报分类和手动关联之类的战术任务占据了他们的大部分时间,使他们没有时间进行诸如威胁狩猎或防御优化之类的战略工作。每增加一个工具,就会分散注意力。每增加一个仪表盘,都会增加疲劳感。这不足为奇。 将近一半 很多安保专业人员表示感到压力巨大。
碎片化导致响应时间变慢
工具的泛滥迫使分析人员手动关联跨平台数据、在不同界面间切换,并手工拼凑时间线。当安全漏洞发生时,时间是以分钟而非小时来计算的。然而,如今企业平均需要花费数天甚至数周才能检测到漏洞,这并非因为数据缺失,而是因为数据分散在太多地方,难以及时查找。
由于复杂性而存在的安全漏洞
管理的产品越多,配置偏差就越容易出现。任何团队都无法在 45 种以上的安全工具中保持完美无瑕。一条防火墙规则在一个控制台中更新了,但在另一个控制台中却没有更新,突然间就出现了一个无人知晓的漏洞。每增加一个供应商,攻击面也会扩大,因为大多数安全产品都具有很高的权限,并且会接触到敏感数据。
工具重叠导致预算被耗尽
如果你在没有审核现有系统的情况下就叠加解决方案,最终会导致你为多个供应商提供本质上相同的检测逻辑。 SIEM、EDR 和 XDR 可能所有检测都指向同一个可疑进程,但你却要为这项检测支付三倍的费用。
Stellar Cyber 如何解决工具蔓延问题
好消息是,还有更好的前进方向,那就是在不造成混乱的情况下实现统一。
恒星网络 Open XDR 平台 采取不同的方法。传统 XDR 是围绕单一供应商的EDR构建的,这会将你锁定在他们的生态系统中。 Open XDR 适用于任何 EDR这样,您就可以保留已选择的终端工具。它不会强迫您放弃现有的投资,而是将它们整合在一起。 NG-SIEM, NDR, UEBA, ITDR, CDR, 小提示和 SOAR能力 所有功能都整合到一个控制台中,采用单一数据模型和单一界面,方便您进行整个安全操作。
您可以从任何地方摄取数据。
Stellar Cyber 的开放式架构可通过数百种即插即用的集成方案与您现有的安全堆栈连接。保持您的 CrowdStrike,你的 哨兵一号您的 Microsoft Defender。保留您的云安全工具和本地基础架构。该平台可自动规范化和丰富来自所有来源的数据,数据源的集成只需数小时而非数周。您最终将使用统一的数据集,而不是分散的数据流。
人工智能可以自动关联警报。
数据统一后,高级人工智能便能发挥作用。单个警报会自动关联成事件,让分析师全面了解事件经过。可疑登录、异常网络流量和标记的端点进程都会显示为一个优先级较高的案例,其中包含上下文信息、攻击链映射和建议的响应措施。分析师可以专注于调查事件,而不是无休止的警报队列。在验证调查结果并提供反馈的过程中, 人工智能会学习和改进随着时间的推移变得越来越聪明。
检测和响应速度加快
这种统一的方法显著提升了速度。客户反馈平均检测时间缩短了 8 倍,平均响应时间缩短了 20 倍。这并非因为他们拥有更多数据,而是因为他们终于可以在一个平台上查看所有数据并立即采取行动。团队反馈,他们花费在重复性故障排查上的时间减少了,分析师可以腾出更多精力专注于其他方面。 主动威胁搜寻 以及防御优化。
分析师有更多时间从事战略工作
或许最重要的一点是,统一化改变了团队的时间分配方式。工具的泛滥让分析师陷入被动应对的困境,疲于奔命地救火,而无暇顾及加强防御。Stellar Cyber 改变了这种局面。分析师不再需要疲于应对数十个控制台的警报,而是专注于一个优先级排序的队列。他们可以验证发现的结果,训练系统,并主动搜寻威胁。那些曾经导致倦怠的繁琐工作,如今变成了能够提升员工留存率的战略性工作。
结论和后续步骤
当你跳出局限,从更宏观的角度来看待问题时,选择就变得清晰了。工具泛滥实际上是一个伪装成技术问题的可见性问题。你添加的每一个新工具都声称能提升安全性,但如果没有统一的管理,你只会让本已震耳欲聋的信号更加嘈杂。
目标应该是将分析师从繁琐的工作中解放出来,让他们专注于人类最擅长的领域:战略思考、威胁搜寻以及增强组织抵御攻击的能力。人工智能负责处理机器速度的优先级排序;而专家则负责验证、训练和改进系统。
近75%的组织表示希望整合其安全供应商。那些通过选择与现有投资兼容的平台进行战略性整合的组织,将不再承担碎片化带来的隐性成本。
使用大量不同的工具并不能让你更安全——全面可见性才能做到,而全面可见性始于将所有内容集中到一个中心位置。
想看看统一安全机制的实际应用吗?
如果您要参加 RSAC 2026,请光临 327 号展位。 注册参加演示 或者拿一个 免费展会通行证 与代码 52E1069XP.
