安全团队指南：如何创建网络安全的 "谷歌地图"

本文2156****字   阅读约需 6****分钟

如何将网络安全从纸质地图和零碎分析转变为集成、步调一致、全面、可实时导航的系统？

网络安全不仅仅是防火墙和杀毒软件，还要了解你的防御系统、人员和流程是如何协同工作的。就像谷歌地图彻底改变了导航方式一样，流程映射也能彻底改变您了解和管理安全状况的方式。

过去，我们常常拿着纸质地图去新的地方。这既危险又不方便，边开车边看地图意味着两件事都做不好。后来，Garmin 和 TomTom 等公司推出了看似神奇的逐向导航GPS 系统。这些系统售价数百美元，堪称奢侈品。谷歌地图问世后，纸介质地图突然被废弃使用，而“逐向导航”（ "turn-by-turn "）则变得不可或缺。我们中的大多数人已经无法想象，在计划旅行、步行或驾车导航新城市时，如果没有网络地图，将如何生活。新的用例出现了，如今，我们使用网络地图就像使用搜索引擎一样，可以过滤评级、营业时间、食品或商品种类。

如今，大多数团队在网络安全领域都使用纸质地图。有些团队使用电子表格，并进行手动更新。还有一些团队使用的是可能包含一些自动化元素的仪表盘。在最糟糕的情况下，他们不得不解析日志文件，手动将一连串事件或迹象拼凑在一起，以绘制网络安全流程图。就像事件响应一样，周而复始，每一次事件分析过程都费时费力，令人苦不堪言。这也是当今网络安全仍然低效、不精确的重要原因。

那么，我们如何才能将网络安全从纸质地图和零碎分析转变为一个集成、步调一致、全面、可实时导航的系统，从而为我们提供相当于逐向导航的可视性和规划呢？

采用流程制图思维，建立实时可视化的安全旅程——安全工作流程的谷歌地图。

第 一 步：定义关键路径

您不需要绘制所有内容，只需要选择谷歌地图工具绘制跟踪安全流程或工作流程的元素。 

确定关键流程： 从最重要的安全工作流程开始。这可能包括事件响应、漏洞管理、威胁猎取或合规性审计。 

绘制地形图： 将每个流程分解为各个步骤。谁参与其中？采取了哪些行动？使用了哪些工具？要细致入微。

第 二步：绘制网络安全地图

谷歌地图的魅力在于其强大的可视化架构，对于网络安全流程而言，可以简化 "选择你自己的冒险"。 

**选择制图工具：**从具有动态节点的简单流程图软件到专门的网络安全流程制图平台，有很多选择。理想的工具可让您创建动态、交互式流程图，并可根据任何关键属性（角色、条件、位置、流程类型）进行实时更新和过滤。

**与工具集成：**将地图链接到信息安全管理（SIEM）、工单系统、聊天工具、电子邮件和安全协调工具等。这样，您的地图就能反映安全操作的实时状态，并直观地显示谁做了什么以及何时发生。集成应提供可视化流程中的交互时间轴，让您轻松快速地浏览感兴趣的流程。 

**绘制地图：**将每个流程的步骤连接成一个可视化流程。使用彩色编码突出显示不同的团队、状态或潜在瓶颈。添加注释和注解以提供上下文。地图必须提供完整的活动链以及嵌套动作和反应的可见性，以正确捕捉网络安全团队的工作导航方式。

第 三 步：使用地图优化安全流程

现在您已经有了关键安全流程的地图和可视化景观，您可以部署一个强大的安全商业智能（BI）工具，让您直观地检查和分析不同的过程如何导致不同的结果。这是安全优化最关键的部分——优化人为因素，关注人们的实际工作（而不是仪表盘或证明上所说的工作）。 

**按类型分析流量模式：**绘制特定类型事件在流程中的流程图，以及不同任务的执行方式。延误在哪里？是否有意想不到的迂回？人们是否跳过步骤或不遵守规定？还是他们自己优化了流程并提高了效率？ 

**调查具体事件：**使用您的地图调查特定事件或行动，从应对入侵迹象到修补高风险性零日漏洞。查看正在发生的事件和遗漏的事件。 

**识别流程风险并优化流程手册：**更新您的流程以简化工作流程、消除不必要的步骤并自动执行重复性任务。使用地图测试和验证您的更改。

绘制永无止境的安全演进图

尽管谷歌地图是一款出色的产品，但我们都会在使用过程中遇到一些错误——商店或餐馆关门了，距离稍有偏差，方向指示告诉你在有 "禁止左转 "标志的十字路口左转。同样，您的安全流程图也需要不断发展，以跟上组织、工具和流程的变化。您的安全环境在不断变化，因此您需要定期审查和更新您的地图，以反映新的威胁、工具或流程。

安全本身是一个过程，而不是产品。人类处理视觉信息的效率要高于其他任何形式的信息。我们还进化成了寻路者，天生就有绘制地图的意识。在线制图工具成为历史上最受欢迎的应用程序之一是有原因的。通过将这些经验应用到网络安全中，我们可以利用地图的力量来提高网络安全团队的效率，并最终清楚地了解对于良好安全而言最重要的信息--意图和行动地图，让我们能够重温、学习和改进。

  关 于 作 者  

约翰•莫雷洛

Gutsy 公司联合创始人兼首席技术官。Gutsy 采用新的方式进行安全治理，首次将流程挖掘应用于网络防护，以帮助 CISO 将安全视为相互关联、带来结果的系统和事件，而不是单独的设置和检测。

END