美國國家安全局總顧問Glenn Gerstell最近在《紐約時報》發(fā)表了一篇評論文章，描述了美國在二戰(zhàn)之后開發(fā)的國家安全系統(tǒng)如何可靠地對外國軍事發(fā)展(如發(fā)射導(dǎo)彈以及坦克、飛機、船只和潛艇的移動)發(fā)出預(yù)警。并將遙測數(shù)據(jù)與先進的監(jiān)視技術(shù)融合在一起，使美國對其安全性和可以應(yīng)對的突發(fā)事件擁有一定的信心。雖然Gerstell提出了這個令人信服的論點，但事實已不再如此。Gerstell說，技術(shù)革命已經(jīng)顛覆了美國國家安全基礎(chǔ)設(shè)施和機構(gòu)的運行方式。

 

Gerstell并不是唯一一個這么思考的美國官員。美國中央情報局代理局長Joseph Hill也認為，網(wǎng)絡(luò)空間是美國國家安全最大的弱點。除了政府和軍方之外，美國安全機構(gòu)最近對美國各種規(guī)模企業(yè)進行的一項調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)安全是受訪者最關(guān)心的問題。

 

而美國在二戰(zhàn)之后戰(zhàn)略取得成功的原因是實時整合對外國軍事發(fā)展的信息。然而美國如今過于專注于尋求更好的技術(shù)，而不是整合所知道的信息。

 

 

行業(yè)專家與一位首席信息安全官探討如何獲得批準采購15種工具來加強安全操作，但這位首席信息安全官對融合輸出數(shù)據(jù)集以實時了解企業(yè)的可疑活動卻知之甚少。

 

首席信息安全官關(guān)注的焦點應(yīng)該是分析師，他們很難在每天的“貓捉老鼠”游戲中獲勝，并且不堪重負。分析師在應(yīng)對大量事件的同時，還需要與過去的所見所聞聯(lián)系起來。而開展這些工作的組織都承認，這種策略會產(chǎn)生太多的干擾。太多的工具、大量威脅源以及疲憊不堪的分析師將會花費組織更多的成本，并且降低安全性。當行業(yè)組織選擇“工具化”而不是采取有紀律的管理和融合網(wǎng)絡(luò)情報的方法時，這種大規(guī)模的戰(zhàn)略變得更加低效并且成本高昂。必須重新制定戰(zhàn)略，將已有的工具結(jié)合起來，以確保自己的安全，而不是尋求獲得更好的技術(shù)和設(shè)備。

 

 

組織首先從安全團隊如何處理傳統(tǒng)的安全威脅開始，以將云中的生態(tài)系統(tǒng)組合在一起。通常分為三個階段。

 

第一階段。采用云計算技術(shù)的組織將來自內(nèi)部系統(tǒng)的警報與外部情報提供商的警報融合在一起。這就要求在不中斷分析師工作流程的情況下，很容易將來自現(xiàn)有技術(shù)堆棧(SIEM、EDR、案例管理、編排)的輸出與來自內(nèi)部資源的輸入進行整合。

 

第二階段。在安全相關(guān)活動中，除了安全操作外，還有欺詐和濫用。每一種都會導(dǎo)致組織內(nèi)部和下游公司的安全問題。例如，賬戶接管(ATOs)不僅可以用于組織內(nèi)部的惡意活動，還可能導(dǎo)致對手濫用賬戶攻擊他人。

 

第三階段。組織與其他公司聯(lián)系，交流有關(guān)其常見安全和欺詐挑戰(zhàn)的信息。這正是云計算技術(shù)擁有顯著優(yōu)勢的地方，因為組織根據(jù)各種需求選擇合作伙伴，從保護供應(yīng)鏈到應(yīng)對行業(yè)內(nèi)部和行業(yè)之間的特定威脅。采用云計算允許公共機構(gòu)和私營部門相互合作。組織不僅可以共享信息，還可以定義用例，并能夠快速、無縫地交換和分析數(shù)據(jù)。云計算還使組織能夠在其內(nèi)部獲得洞察力和趨勢，以及與其他公司進行比較的方式。

 

 

很多組織已經(jīng)在轉(zhuǎn)變?yōu)榛谠朴嬎愕哪Ｐ停詫⑵鋬?nèi)部數(shù)據(jù)與外部威脅信息融合在一起。他們從安全事件管理系統(tǒng)到端點檢測和案例管理系統(tǒng)再到第三方情報等各種工具中獲取和豐富網(wǎng)絡(luò)情報。而成功的平臺結(jié)合了以下幾種功能：提取和規(guī)范化結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)、權(quán)限和訪問管理、融合和充實數(shù)據(jù)，以及編輯敏感和專有信息。這個平臺還必須是可擴展的，以便組織可以在單獨的與安全相關(guān)的操作(例如安全操作中心、欺詐和組織內(nèi)部以及組織之間的內(nèi)部調(diào)查)之間融合數(shù)據(jù)。

 

洛杉磯市市長Eric Garcetti在今年9月啟動洛杉磯網(wǎng)絡(luò)安全實驗室(LA Cyber??Lab)，以融合來自公共和私營部門、當?shù)厥姓斁趾拖M者的數(shù)據(jù)。交換可疑事件數(shù)據(jù)將加快調(diào)查速度，識別趨勢，并最終提高安全性。它得到了洛杉磯市、美國國土安全部、IBM、創(chuàng)新技術(shù)平臺，以及洛杉磯一些商業(yè)領(lǐng)袖的支持。

 

洛杉磯的模式可以被復(fù)制，創(chuàng)造出包含可疑事件的融合數(shù)據(jù)的新生態(tài)系統(tǒng)。領(lǐng)導(dǎo)者應(yīng)該認識到，威脅行為體在各個部門以及地方、州和聯(lián)邦政府之間制造和復(fù)制襲擊。基于部門的共享模式仍然很重要，例如信息共享與分析中心(ISAC)和信息共享與分析組織(ISAO)。但洛杉磯的模式不同。當人們開始從互聯(lián)系統(tǒng)的角度考慮安全性，而不是在工具和部門之間孤立數(shù)據(jù)時，融合的潛在力量是巨大的。必須整合網(wǎng)絡(luò)情報系統(tǒng)，以實現(xiàn)網(wǎng)絡(luò)攻擊環(huán)境的全面可見性。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。