穿透网络安全复杂性:从工具整合到风险度量

本文记录了Black Hat Europe会议上的专家对话,探讨企业如何应对40-60种安全工具的复杂性,通过定义关键指标衡量安全投资回报,并深入分析零信任架构与风险管理策略的实践应用。

网络安全复杂性的挑战

在十二月的Black Hat Europe会议上,我与资深安全分析师Paul Stringfellow展开了对话。第一部分讨论的重点是:企业如何应对网络安全工具的复杂性,以及如何定义相关指标来衡量投资回报率(ROI)和风险。

Jon提问:终端用户组织如何理解当前的所有动态?我们在Black Hat会议上看到了大量不同的技术、选项、主题和类别。在我们的研究中,有30-50个不同的安全主题:态势管理、服务管理、资产管理、SIEM、SOAR、EDR、XDR等等。然而,从终端用户组织的角度来看,他们不希望考虑40-50种不同的事物,而是希望聚焦在10个、5个,甚至3个关键领域。您的职责是部署这些技术,他们希望如何思考这个问题?您又如何帮助他们将我们在此看到的复杂性转化为他们追求的简洁性?

应对工具泛滥的策略

Paul回答:我参加这类活动是因为挑战极其复杂且快速演变。如果不花时间与供应商和更广泛的行业交流,我认为任何人都无法成为现代的CIO或安全领导者。不一定非要在Black Hat Europe,但您需要与供应商互动才能完成工作。

关于您提到的40或50家供应商,您说得对。根据不同的研究,组织中网络安全工具的平均数量在40到60之间。那么,如何跟上这种节奏?当我参加这类活动时,我喜欢做两件事——自从开始与GigaOm合作后,我又增加了第三件事。一是与供应商会面,因为有人要求我这样做。二是参加一些演讲。三是在展区走动,与供应商交谈,特别是那些我从未接触过的,了解他们的业务。

昨天我参加了一个会议,标题引起了我的注意:“如何识别能为您带来价值的网络安全指标”。从分析师的角度来看,这很吸引人,因为我们在GigaOm的部分工作就是创建指标,以衡量特定主题中解决方案的有效性。但如果您在SecOps或IT运营中部署技术,您会收集大量指标以尝试做出决策。他们在会议上讨论的问题之一是,由于工具过多,产生了大量噪音,如何开始发现价值?

对您问题的详细回答是,他们提出了一种我认为非常聪明的方法:退一步,从组织的角度思考哪些指标重要。作为企业,您需要了解什么?这样做可以让您减少噪音,并可能减少用于提供这些指标的工具数量。如果您确定某个指标不再有价值,为什么还要保留提供该指标的工具?如果它除了提供该指标外没有其他作用,就将其移除。我认为这是一种非常有趣的方法。几乎像是在说:“我们已经做了所有这些事情。现在,让我们思考什么才是真正重要的。”

安全投资的实效评估

这是一个不断发展的领域,我们处理它的方式也必须进化。您不能仅仅因为五年前购买了某物就假设它仍有价值。到现在,您可能已有其他三个工具做同样的事情。我们应对威胁的方式已经改变,我们处理安全的方法也已改变。我们需要回顾其中一些工具,并问:“我们真的还需要这个吗?”

Jon补充:我们通过这种方式衡量成功,并进而做出改变。

Paul赞同:是的,我认为这非常重要。我最近与某人讨论了自动化的重要性。如果我们要投资自动化,实施后我们是否比12个月前更好?我们在自动化工具上花了钱,而且它们都不是免费的。我们被灌输的理念是这些工具将解决我们的问题。我在CTO角色中所做的一件事(除了与GigaOm的工作外)是将供应商的梦想和愿景转化为客户需求的实际解决方案。

供应商渴望他们的产品能为您改变世界,但现实是客户在另一端的需求。正是这种整合和理解——能够衡量在实施某事物之前和之后发生了什么。我们能否展示改进?那项投资是否具有实际价值?

风险管理的核心地位

Jon提出假设:风险是唯一重要的衡量标准。您可以将其分解为声誉风险、业务风险或技术风险。例如,您是否会丢失数据?是否会泄露数据从而损害业务?或者是否会暴露数据并激怒客户,让您遭受重创?但另一方面,您是否为了缓解风险而花费了远超所需的资金?因此,您会涉及成本、效率等方面,但组织是否这样思考?因为这是我传统的观点,也许它已经过时了。

Paul回应:我认为您的思路正确。作为一个行业,我们生活在一个小的回声室中。当我说“行业”时,我指的是我所见的一小部分,只是整个行业的一小部分。但在那一部分中,我认为我们确实看到了转变。在客户对话中,关于风险的讨论更多了。他们开始理解支出与风险之间的平衡,试图弄清楚他们能承受多少风险。您永远无法消除所有风险。无论实施多少安全工具,总有人会做愚蠢的事情,使业务面临漏洞。这甚至还没涉及AI代理试图与其他AI代理交朋友以进行恶意行为——那完全是另一个话题。

漏洞评估的实践智慧

理解风险正变得越来越普遍。与我交流的人开始意识到这是关于风险管理。您无法消除所有安全风险,也无法处理每一个事件。您需要专注于识别对您业务构成真正风险的地方。例如,对CVE评分的一个批评是,人们看到一个评分为9.8的CVE就认为它是一个巨大的风险,但没有上下文。他们不考虑该CVE是否在野外被发现过。如果没有,那么成为第一个遇到它的风险是什么?如果漏洞利用如此复杂以至于在野外从未出现过,那么有人使用它的可能性有多大?

这是一个如此复杂的漏洞利用,以至于没有人会利用它。它的评分是9.8,并在您的漏洞扫描器上显示“您真的需要处理这个”。现实是,如果我们在野外见过它,您已经看到了没有应用上下文的转变。

零信任架构的演进

Jon总结:风险等于概率乘以影响。所以您在谈论概率,然后它是否会影响您的业务?是影响每六个月使用一次的系统,还是您面向客户的网站?但我很好奇,因为在90年代,当我们亲手操作时,我们经历了一波风险规避,然后转向“我们必须阻止一切”,这正是您所谈论的,再到风险缓解和风险优先级排序等等。但随着云计算的进步和数字世界中敏捷等新文化的兴起,感觉我们又回到了“嗯,您需要防止这种情况发生,锁上所有门,并实施零信任”的方向。现在,我们看到了“也许我们需要更聪明地思考这个问题”的浪潮。

Paul提出反驳:这是一个非常好的观点,实际上,您提出的类比很有趣。让我们在录制时小小争论一下。您介意我与您争论吗?我暂时质疑您对零信任的定义。零信任通常被视为试图阻止一切。这可能不是零信任的真实情况。零信任更像是一种方法,技术可以帮助支撑这种方法。无论如何,这是我个人的内心辩论。但零信任……

现在,我稍后会在这里插入并与自己争论。所以,零信任……如果以它为例,这是一个很好的例子。我们过去所做的是隐式信任——您登录,我接受您的用户名和密码,之后您在安全气泡内所做的一切都将被视为有效,没有恶意活动。问题是,当您的账户被入侵时,登录可能是您唯一非恶意的行为。一旦登录,您被入侵的账户尝试做的所有事情都是恶意的。如果我们进行隐式信任,我们就不太聪明。

Jon追问:那么,相反的做法是完全阻止访问?

Paul澄清:这不是现实。我们不能仅仅阻止人们登录。零信任允许我们让您登录,但不盲目信任一切。我们暂时信任您,并持续评估您的行为。如果您做了让我们不再信任您的事情,我们会采取行动。这是关于持续评估您的活动是否适当或可能恶意,然后相应采取行动。

Jon总结对话:这将是一场非常令人失望的争论,因为我同意您说的一切。您与自己争论的程度比我所能做的更多,但正如您所说,城堡防御模型——一旦进入,您就在里面。我在那里混合了两件事,但想法是一旦进入城堡内部,您就可以为所欲为。这已经改变。那么,该怎么办?请阅读第二部分,了解如何提供成本效益高的响应。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次