李匯

雖然監(jiān)控和收集日志以監(jiān)控網(wǎng)絡(luò)活動是一種很好的做法，但如果沒有人理解它們，這樣做真的有意義嗎？那么，數(shù)據(jù)如何幫助改進網(wǎng)絡(luò)安全策略呢？

組織網(wǎng)絡(luò)每天可以從正?；顒印⒙?lián)網(wǎng)移動設(shè)備、傳感器和基于云的服務(wù)中生成大量的數(shù)據(jù)。有來自多個來源的數(shù)千個數(shù)據(jù)元素，例如用戶活動的Web和系統(tǒng)日志、元數(shù)據(jù)、IP地址、路由器日志、第三方防病毒軟件，它們都在不斷發(fā)展和繁殖。當(dāng)他們這樣做時，攻擊面就會擴大。因此，IT團隊面臨著對收集到的見解迅速采取行動以保護其網(wǎng)絡(luò)并最大限度地降低網(wǎng)絡(luò)攻擊風(fēng)險的壓力。

問題在于，面對如此大量的數(shù)據(jù)，安全專業(yè)人員可能會不知所措，難以整理數(shù)據(jù)進行分析。然而，最常見的是，他們發(fā)現(xiàn)很難理解每個數(shù)據(jù)點的含義以及如何將警報轉(zhuǎn)化為行動。雖然監(jiān)控和收集日志是監(jiān)控網(wǎng)絡(luò)活動一種很好的做法，但如果沒有人理解它們，這樣做真的有意義嗎？那么，數(shù)據(jù)如何幫助改進網(wǎng)絡(luò)安全策略呢？

保護網(wǎng)絡(luò)

今天，很少有網(wǎng)絡(luò)攻擊是在單個端點上進行的。幾乎所有人都必須穿越網(wǎng)絡(luò)，如果該網(wǎng)絡(luò)沒有得到適當(dāng)?shù)谋Ｗo，黑客可以在離開之前進入并造成嚴(yán)重破壞。然而，無論他們是否設(shè)法操縱系統(tǒng)日志，裝備精良的分析師仍然能夠查看網(wǎng)絡(luò)數(shù)據(jù)并確定到底發(fā)生了什么。

網(wǎng)絡(luò)是最重要證據(jù)的居所，也是通往公司心靈和大腦的最佳途徑。如果受到損害，它們可能會破壞運營，導(dǎo)致嚴(yán)重的財務(wù)影響和聲譽損失。因此，至關(guān)重要的是IT團隊了解健康的網(wǎng)絡(luò)是什么樣子，然后才能通過定期監(jiān)控和主動威脅搜尋來發(fā)現(xiàn)異常并縮小差距。轉(zhuǎn)向以數(shù)據(jù)為核心的更主動的網(wǎng)絡(luò)安全策略是保護企業(yè)免受不斷發(fā)展和日益復(fù)雜的網(wǎng)絡(luò)威脅的最佳實踐。

增強端點安全性

雖然大多數(shù)黑客以網(wǎng)絡(luò)本身為目標(biāo)以獲取對組織資產(chǎn)的訪問權(quán)限，但有些黑客確實首先利用端點漏洞然后滲透網(wǎng)絡(luò)。家庭和商業(yè)設(shè)備都極易受到網(wǎng)絡(luò)犯罪的影響。從傳統(tǒng)惡意軟件到網(wǎng)絡(luò)釣魚攻擊，只需一個可疑鏈接即可傳播病毒并危害系統(tǒng)。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的不斷增加、BYOD趨勢的持續(xù)流行和工作模式的不斷變化，IT團隊需要深入了解每個端點，以保護其免受橫穿企業(yè)網(wǎng)絡(luò)的威脅。無論團隊決定采用不同的防病毒、URL過濾還是額外的應(yīng)用程序控制，這些決定都必須基于證據(jù)來確保實施的安全實踐能夠最大限度地降低網(wǎng)絡(luò)攻擊的風(fēng)險。

加快事件響應(yīng)速度

由于大多數(shù)人現(xiàn)在都以他們生活的某些身份在網(wǎng)上進行操作，因此可以肯定會發(fā)生事件。當(dāng)它們發(fā)生時，其中任何一個都不應(yīng)被忽略。數(shù)據(jù)在這里很關(guān)鍵，因為除非他們有數(shù)據(jù)要分析，否則事件響應(yīng)者無法開始調(diào)查。但即使有數(shù)據(jù)，如果無法理解，他們將如何處理？可悲的事實是：什么都沒有。隨著調(diào)查的延遲，公司正在向眾多危險敞開大門。如果有更多的時間，黑客可以破壞系統(tǒng)，竊取或破壞更敏感的數(shù)據(jù)，或者隱藏在網(wǎng)絡(luò)中。緩慢的響應(yīng)也可能導(dǎo)致危險的大量積壓，尤其是當(dāng)高優(yōu)先級和嚴(yán)重警報進入堆中時。因此，事件響應(yīng)的速度對于保護組織數(shù)據(jù)免受入侵者的侵害至關(guān)重要。

有效的法醫(yī)調(diào)查

無論是在現(xiàn)實世界還是虛擬世界，調(diào)查犯罪現(xiàn)場都不是一件容易的事。然而，構(gòu)建一個關(guān)于發(fā)生的事情和原因的完整故事是每個網(wǎng)絡(luò)安全戰(zhàn)略一個非常重要的部分。通過過濾數(shù)千個數(shù)據(jù)日志并提取元數(shù)據(jù)，安全團隊需要收集盡可能多的網(wǎng)絡(luò)、端點和系統(tǒng)證據(jù)來結(jié)案。最好的網(wǎng)絡(luò)安全工具將有助于訪問精細(xì)的歷史數(shù)據(jù)并理解它來講述事件的故事，使用敘述來提高網(wǎng)絡(luò)安全性并防止未來發(fā)生違規(guī)行為。畢竟，每一次妥協(xié)和數(shù)據(jù)泄露都是一次學(xué)習(xí)體驗，應(yīng)該用來調(diào)整技術(shù)、工具和流程，以提高可見性、改進威脅追蹤并加快檢測速度。

理解噪音

安全團隊可以收到大量警報，告知他們潛在的威脅。其中一些確實是相關(guān)的，而另一些則是低優(yōu)先級的。團隊獲得的噪音越多，錯過重要事情的機會就越大。如果安全團隊沒有被來自多個安全系統(tǒng)指向嚴(yán)重問題的大量通知所淹沒，那么臭名昭著的Target數(shù)據(jù)泄露事件是可以避免的。在Target的案例中，速度因素是阻止違規(guī)行為的關(guān)鍵，或者至少是最小化其影響的關(guān)鍵，但團隊根本無法處理或分類警報。這個問題更為普遍，而且在大公司和小公司中仍然非常普遍。

然而，今天的安全工具不僅為IT部門提供了更好的警報準(zhǔn)確性，還提供了數(shù)據(jù)上下文和額外的支持信息，以加快事件響應(yīng)和進行更有效的調(diào)查。限制噪音水平并顯著提高噪音質(zhì)量有助于更好、更快地做出決策。安全指標(biāo)很復(fù)雜，因此IT團隊使用的工具應(yīng)該提供一定程度的簡化。這樣一來，隨著數(shù)據(jù)變成易于理解、可操作的見解，對網(wǎng)絡(luò)安全戰(zhàn)略的信心就會增強。憑借信心、簡單性和更好的警報優(yōu)先級，網(wǎng)絡(luò)安全團隊可以將他們的方法從被動轉(zhuǎn)變?yōu)橹鲃樱肋h(yuǎn)不會錯過潛伏的入侵者。配備正確的工具可以幫助團隊更好地理解安全數(shù)據(jù)，成功地防止違規(guī)行為并在未來幾年保護企業(yè)、員工和客戶。