安全工具过剩的七宗罪
随着威胁的不断升级和复杂化,企业部署的网络安全工具也越来越多,随之而来的挑战就是安全工具的集成,也就是如何将这些不同的工具(很多情况下来自多个厂商)集成到现有的基础设施中,以支持一致的安全策略。
迁移到云端使安全集成变得相对容易,但过多的安全工具依然是安全集成的最大障碍,以下是安全工具集成常见的“七宗罪”:
1.安全工具太多
一个常见的安全集成问题源于当今很多企业面临的问题:部署了过多的安全产品和服务。
IBM Security产品管理副总裁Chris Meenan表示:“大量不同的安全工具以及它们之间缺乏本地互操作性是当今网络安全运营面临的最大挑战之一。”“每个新的安全工具都必须与其他数十种安全工具集成,从而产生大量自定义集成,必须在每个工具之间进行管理——其增长规模已变得不可行。”他说。
埃森哲安全全球董事总经理Kelly Bissell表示,“当今市场上有数千种网络安全工具,具有各种不同的特性和功能。”“任何安全领导者,无论他们的经验水平如何,都很容易在为公司做出‘正确’的安全选择时不知所措。”
Bissell说,结果通常是由50甚至100种不同工具拼凑在一起的企业安全基础设施。“当引入新工具但无法与其他平台或安全工具进行通信时,就更难以获得对真正的威胁形势有用的视图。”他说。
Bissell说,组织“需要进行一些‘春季大扫除’并合理化或整合他们的网络安全工具。”“他们还应该选择一些核心供应商并缩减其他供应商,以最大限度地发挥核心供应商关系的价值。这将节省许可和集成成本,同时简化他们的足迹。”
2.安全工具之间缺乏互操作性
Meenan说,当今可用的许多安全工具都使用专有接口和数据交换语言。虽然现在许多提供开放式应用程序编程接口(API),但“这些API不一定建立在相同的标准上,因此仍需要特定的自定义代码来集成产品A和产品B,”他说。“此外,交换数据的语言也没有标准化。”
如今很多安全社区正在努力解决互操作性问题,重点工作是开发更通用的数据模型、开放标准和开源工具,这些工具可以跨供应商和工具集使用。基于通用API和通用数据模型,安全团队将能够更轻松地将一种工具换成另一种工具,最终更容易添加新工具并减少供应商锁定,”他说。
Meenan说,开放网络安全联盟(OCA)是一个很好的例子。这是一个由开放治理下的供应商、消费者和非营利组织组成的跨部门团体,致力于利用开源和开放标准来提高网络安全互操作性。
“像开放网络安全联盟这样的组织都是为了将来自更广泛的安全社区的参与者聚集在一起,以一种开放和透明的方式帮助定义这些标准,并得到社区的开发、审查和反馈。”Meenan说,“公司现在可以开始寻找基于开源工具和标准的软件,以减轻现在和未来的安全集成负担。”
3.功能打架
Secure Anchor Consulting创始人兼首席执行官,网络安全专家Eric Cole表示,安全工具通常需要对系统或网络流量进行特定访问才能运行,而添加新工具可能会导致现有工具停止工作。
“这基于这样一个前提,即在安装新工具时,它们通常会进行更改,例如删除或上传文件、驱动程序和注册表项,而这些配置通常由以前安装的工具使用。”Cole说,“这个问题主要在端点安全工具或必须直接安装在系统上的工具中普遍存在。”
Cole说,“对于网络设备或设备,这不是问题。”他说,“解决方案是使用必须在本地安装的基于主机或服务器的工具,组织应坚持使用单一供应商套件或工具,以最大限度地减少跨供应商污染。”
4.网络可见性有限
Cole说,较新的安全工具专注于构建行为模型以更好地了解网络流量和行为,并使用这些信息来检测异常活动。
“为了使这些模型有效,他们必须检查和分析所有网络流量。”科尔说,“如果工具只看到局部信息,那么模型就不会准确或有效。这主要是网络设备和设备的问题,但如果在现有技术之前安装新的网络设备,它可能会阻塞流量并限制现有系统的可见性。”他说,“如果新设备安装在现有设备之后,它的信息就会有限,而且效果不佳。”
解决方案是为每个虚拟局域网或网段实施网络工具,Cole说,这样一个工具就可以全面了解它所保护的网络部分。
5.增加误报
Cole说,新安全工具往往强调对攻击的检测,而不是专注于提供准确可靠的信息。
“因此,当您安装更多工具时,它会增加警报并增加误报的总数。”科尔说,“解决方案是利用安全事件和事件管理系统并关联来自多个来源的数据,并且仅对跨多个工具持续发出警报的活动发出警报。”
6.未能正确设定期望
安全公司Optiv的首席信息安全官Brian Wrozek说,安全供应商可能偶尔会修饰其产品的集成功能,或者没有提及为实现所述结果必须具备的所有其他先决条件。反过来,这可能导致安全领导者或团队为无法满足的业务用户设定期望。
“与安全应用程序相比,业务领导者更熟悉业务应用程序。”Wrozek说。他们知道使用Salesforce或Zoom等应用程序会得到什么,但不知道云访问安全代理(CASB)工具。“因此,你必须解释解决方案的所有局限性,而不是只关注好处。”他说。
7.缺乏人才和技能
安全管理者都知道技能和人才差距对组织来说是一个多么严重的问题。几乎在网络安全的各个领域,安全人才和技能的需求都远远大于供应,这包括集成各种安全工具和服务所需的技能。
缺乏能够管理安全工具集成并确定需要采取哪些行动的训练有素的员工是当今企业网络安全面临的一个关键挑战。企业拥有的工具越多,就越需要时间和专业知识,而且会消耗大量资源。