本文2156****字 阅读约需 6****分钟
如何将网络安全从纸质地图和零碎分析转变为集成、步调一致、全面、可实时导航的系统?
网络安全不仅仅是防火墙和杀毒软件,还要了解你的防御系统、人员和流程是如何协同工作的。就像谷歌地图彻底改变了导航方式一样,流程映射也能彻底改变您了解和管理安全状况的方式。
过去,我们常常拿着纸质地图去新的地方。这既危险又不方便,边开车边看地图意味着两件事都做不好。后来,Garmin 和 TomTom 等公司推出了看似神奇的逐向导航GPS 系统。这些系统售价数百美元,堪称奢侈品。谷歌地图问世后,纸介质地图突然被废弃使用,而“逐向导航”( "turn-by-turn ")则变得不可或缺。我们中的大多数人已经无法想象,在计划旅行、步行或驾车导航新城市时,如果没有网络地图,将如何生活。新的用例出现了,如今,我们使用网络地图就像使用搜索引擎一样,可以过滤评级、营业时间、食品或商品种类。
如今,大多数团队在网络安全领域都使用纸质地图。有些团队使用电子表格,并进行手动更新。还有一些团队使用的是可能包含一些自动化元素的仪表盘。在最糟糕的情况下,他们不得不解析日志文件,手动将一连串事件或迹象拼凑在一起,以绘制网络安全流程图。就像事件响应一样,周而复始,每一次事件分析过程都费时费力,令人苦不堪言。这也是当今网络安全仍然低效、不精确的重要原因。
那么,我们如何才能将网络安全从纸质地图和零碎分析转变为一个集成、步调一致、全面、可实时导航的系统,从而为我们提供相当于逐向导航的可视性和规划呢?
采用流程制图思维,建立实时可视化的安全旅程——安全工作流程的谷歌地图。
第 一 步:定义关键路径
您不需要绘制所有内容,只需要选择谷歌地图工具绘制跟踪安全流程或工作流程的元素。
确定关键流程: 从最重要的安全工作流程开始。这可能包括事件响应、漏洞管理、威胁猎取或合规性审计。
绘制地形图: 将每个流程分解为各个步骤。谁参与其中?采取了哪些行动?使用了哪些工具?要细致入微。
第 二步:绘制网络安全地图
谷歌地图的魅力在于其强大的可视化架构,对于网络安全流程而言,可以简化 "选择你自己的冒险"。
**选择制图工具:**从具有动态节点的简单流程图软件到专门的网络安全流程制图平台,有很多选择。理想的工具可让您创建动态、交互式流程图,并可根据任何关键属性(角色、条件、位置、流程类型)进行实时更新和过滤。
**与工具集成:**将地图链接到信息安全管理(SIEM)、工单系统、聊天工具、电子邮件和安全协调工具等。这样,您的地图就能反映安全操作的实时状态,并直观地显示谁做了什么以及何时发生。集成应提供可视化流程中的交互时间轴,让您轻松快速地浏览感兴趣的流程。
**绘制地图:**将每个流程的步骤连接成一个可视化流程。使用彩色编码突出显示不同的团队、状态或潜在瓶颈。添加注释和注解以提供上下文。地图必须提供完整的活动链以及嵌套动作和反应的可见性,以正确捕捉网络安全团队的工作导航方式。
第 三 步:使用地图优化安全流程
现在您已经有了关键安全流程的地图和可视化景观,您可以部署一个强大的安全商业智能(BI)工具,让您直观地检查和分析不同的过程如何导致不同的结果。这是安全优化最关键的部分——优化人为因素,关注人们的实际工作(而不是仪表盘或证明上所说的工作)。
**按类型分析流量模式:**绘制特定类型事件在流程中的流程图,以及不同任务的执行方式。延误在哪里?是否有意想不到的迂回?人们是否跳过步骤或不遵守规定?还是他们自己优化了流程并提高了效率?
**调查具体事件:**使用您的地图调查特定事件或行动,从应对入侵迹象到修补高风险性零日漏洞。查看正在发生的事件和遗漏的事件。
**识别流程风险并优化流程手册:**更新您的流程以简化工作流程、消除不必要的步骤并自动执行重复性任务。使用地图测试和验证您的更改。
绘制永无止境的安全演进图
尽管谷歌地图是一款出色的产品,但我们都会在使用过程中遇到一些错误——商店或餐馆关门了,距离稍有偏差,方向指示告诉你在有 "禁止左转 "标志的十字路口左转。同样,您的安全流程图也需要不断发展,以跟上组织、工具和流程的变化。您的安全环境在不断变化,因此您需要定期审查和更新您的地图,以反映新的威胁、工具或流程。
安全本身是一个过程,而不是产品。人类处理视觉信息的效率要高于其他任何形式的信息。我们还进化成了寻路者,天生就有绘制地图的意识。在线制图工具成为历史上最受欢迎的应用程序之一是有原因的。通过将这些经验应用到网络安全中,我们可以利用地图的力量来提高网络安全团队的效率,并最终清楚地了解对于良好安全而言最重要的信息--意图和行动地图,让我们能够重温、学习和改进。
关 于 作 者
约翰•莫雷洛
Gutsy 公司联合创始人兼首席技术官。Gutsy 采用新的方式进行安全治理,首次将流程挖掘应用于网络防护,以帮助 CISO 将安全视为相互关联、带来结果的系统和事件,而不是单独的设置和检测。
END