發(fā)展閉環(huán)的策略和事件架構(gòu)
時(shí)間:2022-03-25 13:48:02 | 來(lái)源:行業(yè)動(dòng)態(tài)
時(shí)間:2022-03-25 13:48:02 來(lái)源:行業(yè)動(dòng)態(tài)
看到下面這張圖片,長(zhǎng)期關(guān)注Gartner或安博通的讀者不會(huì)陌生:
圖:Gartner提出新一代自適應(yīng)安全防御架構(gòu)
上圖是Gartner提出的新一代自適應(yīng)安全防御架構(gòu),強(qiáng)調(diào)通過(guò)預(yù)測(cè)、檢測(cè)、防御和響應(yīng)的流程實(shí)現(xiàn)持續(xù)監(jiān)控與分析,完成閉環(huán)防御流程。今年的RSA會(huì)議中,安全策略可視化廠商也紛紛提出類(lèi)似的架構(gòu),例如:
圖:Redseal提出快速事件調(diào)查架構(gòu)
圖:Skybox提出自動(dòng)化策略生命周期管理架構(gòu)
圖:Algosec提出安全策略管理生命周期架構(gòu)
同Gartner提出新一代自適應(yīng)安全防御架構(gòu)一樣,各大安全策略可視化平臺(tái)廠商都在紛紛強(qiáng)調(diào)流程閉環(huán)的重要性。在2017年的調(diào)研中,策略可視化廠商大都只能提供檢測(cè) 防御能力,即可以根據(jù)計(jì)算的路徑地圖進(jìn)行異常檢測(cè)告警,也可以據(jù)此來(lái)使用其他安全設(shè)備進(jìn)行防御威脅,但不具備閉環(huán)事件的能力,產(chǎn)品方案更加傾向于運(yùn)維工具和威脅中心。而2018年我們看到更多的廠商在豐富自身的解決方案,希望提供檢測(cè) 防御 預(yù)測(cè) 響應(yīng)的全流程能力,將產(chǎn)品方案提升到防御體系的高度。說(shuō)到底,可視化產(chǎn)品方案的終極目的還是通過(guò)可視呈現(xiàn)來(lái)提升安全響應(yīng)能力,而非為了可視化而可視化。
為了實(shí)現(xiàn)全流程生命周期閉環(huán),各廠商紛紛進(jìn)行能力大融合,在平臺(tái)上支持或完善簡(jiǎn)單的功能組合:策略路徑地圖 威脅情報(bào) 漏洞分析 風(fēng)險(xiǎn)預(yù)警 報(bào)表推送 異常告警 策略梳理 響應(yīng)策略下發(fā),不管實(shí)際效果如何,這套方案至少在紙面上走完了檢測(cè) 防御 預(yù)測(cè) 響應(yīng)的全流程,在價(jià)值層面能夠切實(shí)地閉環(huán)解決某些特定的安全威脅(例如勒索病毒),而不是總在威脅發(fā)生后馬后炮地給出應(yīng)急響應(yīng)方案,這說(shuō)明策略可視化平臺(tái)廠商的意識(shí)取得了進(jìn)步。
另一方面,為了滿足閉環(huán)流程,廠商紛紛推出響應(yīng)類(lèi)特性。例如,Redseal推出Best Practice(最佳實(shí)踐)功能,在該功能中Redseal平臺(tái)對(duì)所有設(shè)備的操作進(jìn)行記錄,并根據(jù)內(nèi)建的數(shù)據(jù)庫(kù)來(lái)提示認(rèn)為可能存在風(fēng)險(xiǎn)的操作,及時(shí)提醒用戶進(jìn)行修復(fù)響應(yīng),以便第一時(shí)間縮小攻擊面,控制風(fēng)險(xiǎn)范圍。