在寻找防御不断增长的威胁方法时,企业在网络安全工具和服务上的支出不断增加。
这意味着许多CISO、CSO和其他高级管理人员可能会遇到工具泛滥的问题。对于更大、更分散的企业或经历过大量合并和收购的企业来说,这尤其令人担忧。
“如今,安全团队在处理其生态系统中工具激增的问题时正面临困境,”系统集成商Myriad360的现场CISO Jeremy Ventura表示,“威胁行为者利用AI等技术大幅增加了攻击频率,导致防御者部署了新的安全工具和服务以应对威胁。”
此外,云服务的使用增加以及企业拥有、发送和接收的数据量也在不断增长,Ventura说。“所有这些因素都导致了供应商泛滥的问题,因此需要进行整合。”
最近的行业研究显示,大量CISO希望优先考虑安全解决方案和控制的整合或简化。更好地处理安全工具泛滥问题可以带来成本降低等好处,并且通过更精简和高效的网络安全程序增强安全性。
“对于企业来说,减少使用的供应商数量以简化管理和监控是至关重要的,”IT服务提供商Infosys Cobalt的执行副总裁Anant Adya说,“工具和服务的整合显著减少了复杂性,并消除了数据存储中的漏洞,使企业更容易受到网络安全风险的影响。”
控制网络安全工具的任何努力的重点是由CISO和其他安全领导者进行监督。“网络安全工具需要得到有效管理,”托管服务提供商VPS Server的创始人Robert Bolder说,“首先要彻底清点每个网络安全工具,并确保它们是最新的并且设置正确。”
以下是来自网络安全实践者和其他专家的一些建议,帮助企业解决安全工具泛滥的问题。
消除不再有效的工具
简化安全工具堆栈的第一步应该是彻底评估哪些工具仍然对你的安全防御有价值,毕竟,每个企业在某个时候都会为了某个特定目的部署安全工具,但后来由于情况变化,这些工具变得不再需要或不再有用。
所有控制和工具都应该与降低超出企业容忍度的风险的概率或可能性相关联,风险管理提供商Hyperproof的CISO Kayne McGladrey说。如果产品不再需要,就应该淘汰。
McGladrey举例说,他的一位CISO同事有一个即将到期的下一代防火墙续约。“设置防火墙的原因是为了减少数据泄露对业务的监管风险,”他说,“然而,该业务已转为主要在家办公模式,因此下一代防火墙保护的是即将出售的空办公空间。”
McGladrey表示,这位CISO在远程工作场景中找到了另一种解决数据外泄风险的方案,并与风险委员会合作确认防火墙不足以管理风险。新方案更能满足业务需求,且成本更低。
“任何无法与一个或多个风险联系起来的控制措施都应该受到审查,并可能因缺乏业务理由而从企业中移除。”McGladrey说。
利用分析评估工具资产
安全团队可以分析从安全工具中收集的数据,以确定哪些产品可以被淘汰,这些数据应尽可能自动收集并可视化。
“当我从事执行顾问工作时,我的团队和我参与的一个项目涉及将来自几十种不同技术的遥测数据整合到一个CISO的单一仪表板上,展示了控制组合如何有效地降低风险。”McGladrey说。
“矛盾的是,这个仪表板的好处在于,它使CISO能够专注于失败点,那些虽然存在但未被有效操作的控制措施,或经常失败的控制措施。”McGladrey说。
这使得CISO能够在董事会层面讨论特定业务部门未能有效操作某个工具的时间,或者数据如何显示该工具经常失效。操作困难或经常失效的工具可能是淘汰的候选者。
通过自动化提升安全姿态
尽可能使用自动化也可以帮助安全领导者找到减少安全工具泛滥的机会。
“优先考虑具有强大自动化功能的工具集,”安全和专业服务提供商Api Group的网络防御运营信息安全经理Carl Lee说,“没有自动化功能来整合警报、工单等,管理多个安全工具对较小的团队来说是困难的。”
“自动化是简化安全运营的关键,”金融服务提供商Block的安全工程师Prahathess Rengasamy说,“自动化重复性任务如补丁管理、威胁狩猎和事件响应,以减少安全团队的负担并最大限度地减少人为错误。”
Rengasamy说,在Block实施自动化脚本以处理常规安全任务,使公司能够重新分配资源到更具战略性的项目上,从而显著提升整体安全姿态。
深入挖掘以根除重复工具
许多企业安全工具泛滥的一个重要原因是存在重复工具。
企业因多种原因积累了重复工具,包括并购、部门孤立、缺乏连贯的安全计划等。无论原因如何,花时间发现并消除重复工具有助于大大简化和整合你的安全堆栈。
第一步是对已知工具及其角色进行评估,The Stock Dork金融投资服务提供商的创始人Adam Garcia说,“分析当前工具的相似性和差异,以及饱和领域和可能的重叠。”
Live Proxies是一家提供互联网代理服务的公司,发现不同部门在执行类似任务(如威胁检测和网络监控)时使用了不同的工具,其联合创始人兼CEO Jacob Kalvo表示,“通过将这些工具整合到一个更大、更强大的平台中,我们降低了相关成本,简化了运营,同时增强了我们的安全态势。”
Kalvo说,进行使用中的所有工具和服务的审计是管理网络安全工具的首要步骤。“然后,你可以剔除冗余和功能重叠的部分。”
对于较大的公司来说,购买和整合大量安全技术变得越来越普遍,“因此,这些企业可能会发现他们有多个产品或平台提供相同的功能,”McGladrey说,“例如,我曾合作过的一个企业有四个独立的产品提供端点检测和响应(EDR),所有这些产品都向单一的安全事件和事件管理(SIEM)平台报告数据。”
这为事件响应团队生成了重复的报告,并产生了大量的误报,“这增加了真正阳性结果被忽略的概率,”McGladrey说,“这种EDR产品的重叠是无意的,该企业最近完成了一次收购,其中一个供应商扩展到EDR,另一个供应商收购了一个EDR解决方案。”
McGladrey说,好心的IT团队只是简单地认为更多是更好的,这被识别为业务的风险和重大成本低效问题,并在对重复功能进行审查后得以解决。
考虑尽可能使用统一的平台
统一的安全平台可以帮助安全计划整合工具集,这些产品套件提供了以前独立的功能,如身份验证和验证、用户权限、特权访问和分析。
Api Group的Lee说,“在合适的情况下使用统一平台。根据你首选的安全工具集,一些供应商提供的统一平台可以将服务整合到一个工具集中。”
The Stock Dork的Garcia说,“整合的好处在于,应该为安全总体上以及特别是安全事件管理寻求统一的仪表板或集中管理控制台。”
Garcia说,“根据我的经验,将端点安全解决方案整合到一个平台中,不仅减少了所需许可证的数量,而且还增强了端点可见性和威胁检测能力。”
Myriad360的Ventura说,对于某些企业来说,转向“合理化”概念可能是有意义的。“将工具合理化到一个供应商下,可以帮助将多个安全警报整合到一个仪表板中,节省检测和响应事件的时间。”他说。
此外,合理化可以帮助减少供应商管理问题。“对于某些企业来说,一个支持团队和一个合同是理想的选择。”Ventura说。
培养利用工具整合的文化
如果员工在安全使用设备以及使用最新安全工具方面得到更好的培训,企业是否需要更少的安全工具?也许是,但无论哪种方式,让所有员工了解最新的威胁和漏洞,并让安全人员了解如何使用最新的技术,都是一个好主意。
为此,Live Proxies 创建了一种持续改进和培训的文化,Kalvo 说。“我们在 SIEM 解决方案中集成了防火墙、入侵检测系统、杀毒系统等安全产品,”他说,“这不仅简化了我们的安全架构,还为我们的网络提供了‘单一视角’的监控能力,使我们能够快速且明智地做出决策。”
但即使是最好的工具,如果使用不当也无法发挥作用,Kalvo 说。“这就是为什么在 Live Proxies,我们定期培训员工使用新工具,并确保我们使用的安全工具始终保持最新,包括安装最新的补丁和最新的功能,”他说,“这使我们的团队能够在新危险出现时保持领先地位,并确保我们对安全投资的最大回报。”
Block 的 Rengasamy 说,在工具整合过程中,明智的做法是让所有相关利益相关者参与其中,包括 IT、安全和业务部门。“提供培训,确保团队熟练使用整合后的工具并了解新的工作流程。”他说。
在其整合计划期间,Block 举办了跨职能研讨会,使利益相关者在新工具和流程上达成一致。“这种协作方法确保了平稳过渡,并培养了持续改进的文化。”Rengasamy 说。
