深度解读 | 从Gartner SIEM魔力象限报告看安全运营的门道
点击上方关注我们!
瀚思进行的一项客户调查显示:在128位受访的首席信息安全官(CISO)中,68%将对安全运营中心(SOC)的投资列为2020年的首要任务。其实,不管安全运营中心也好,企业安全团队也罢,虽然称呼不同,但不可否认,他们都是保证企业安全的主心骨,肩负着企业安全战略制定和执行的重任。
那么,在企业数字化转型的关键阶段,SOC是否充分发挥了应有的作用,让企业安全固若金汤呢?
前不久,Gartner公布了2020年SIEM魔力象限(Magic Quadrant for Security Information and Event Management)报告,作为唯一入选魔力象限的中国企业,瀚思科技(HanSight)的表现获得了Gartner的充分肯定。Gartner的分析师指出,瀚思企业版是现代化安全运营中心(Modern SOC)强有力的技术支持平台。
安全运营提上议事日程
时至今日,虽然越来越多的企业都认同,“从被动防御转入主动防御”是企业安全的进阶之路,很多企业也购置和部署了动态感知、人工智能等先进的技术和产品,但为什么在面对一些突如其来的重大安全威胁和攻击时,有的企业还是显得那么脆弱,甚至不堪一击呢?
Gartner一项深刻洞察似乎能够说明问题:在过去十多年中,整个安全运营进展迟缓,虽然对新技术的炒作不断,但涉及到解决用户的实际问题,效果却差强人意。到底是哪个环节出了问题呢?
当前,蓬勃发展的数字化业务和瞬息万变的安全威胁形势增加了企业的安全负担。作为企业数字化转型的基石之一,一方面,安全本身应如何快速转型,另一方面,安全应该如何更好地为企业的数字化转型保驾护航,这是CISO和SOC面临的共同挑战。
通过对企业客户的调查我们发现,有些企业虽然部署了态势感知等产品,但通常是交给产品提供商来管理和运维,自己则当起了“甩手掌柜”。从2019年上半年开始,企业建立SOC、自主担负起安全运营和管理重任的趋势愈加突显。因此,如何与业务流程紧密绑定,将SOC真正运作起来成了企业的当务之急。这是一个积极的信号。
同样是通过对企业客户的调查,我们发现企业之所以在安全运营和管理的过程中容易出错、走弯路甚至导致满盘皆输,一方面,可能是容易被某些安全产品供应商洗脑,夸大了技术的能力,而实际上没能达到预期的效果;另一方面,企业缺乏经验、不成熟,有时在投资上过于盲目。
瀚思联合创始人兼CEO高瀚昭分析指出,企业的CISO或SOC管理者大多没有一个明确的思路,当然也就无法满足SOC方面越来越广泛的业务期望。很多SOC团队都在努力进行大量的技术投资,寄希望于最新、最出色的技术。虽然没有技术是万万不能的,但技术本身又确实不是万能的。对于一个有智慧、执行力强的SOC团队来说,必须要懂得如何平衡人、技术和流程这三大要素,并将这三大要素有机地结合在一起,在充分了解公司业务需求的基础之上,采用以结果为导向的方法来组建团队、设计流程、评估所需的技术架构。
总之,企业的CISO或SOC管理者,需要更加科学、明确的指导,指引他们规划、构建和发展SOC,进而取得成功。瀚思与Gartner联合发布了《瀚思全场景安全平台助力高效安全运营》白皮书,试图从理论和实操两个层面,为企业SOC的运营提供方法论和实践指导,让企业的安全运营走上正轨,并始终保持正确的方向。
让SOC物尽其用
自然界中没有两片完全相同的雪花。同样,在企业中也不会两个完全相同的SOC。一方面,每个企业或组织的结构、安全治理策略、安全预算、规则要求、人员配置限制等情况各不相同,所以不会有一套放之四海而皆准的SOC能力;另一方面,SOC处在一个动态发展的过程中,随着威胁态势、数字业务等的发展,其成熟度、运营目标等都会随之变化。
但不管SOC如何变化和演进,都依托于三大基本要素——人员、流程和技术,即相关人员利用核心技术平台,也就是SIEM,以及其他技术架构来执行相应的流程。SOC团队领导应当了解如何选择合适的工具、优化流程以及利用合适的人才来组建和完善SOC。
白皮书建议,企业的SOC管理者首先应敦促SOC团队和利益相关者做好流程驱动的评估,包括事前预防式分析,以降低项目失败的可能;其次,根据SOC的运营模式和目标调整工具选择流程,避免草率投资;再次,投资可以识别新型威胁矢量、解决检测盲点、增强SOC能力的技术;最后,灵活应对组织和业务的变更,在某些场景中,可能需要新的工作流和工具来支撑流程和功能的变更。
瀚思在安全运营领域浸润多年,一方面对企业客户的安全需求有着深刻理解和洞察,了解安全运营的症结或瓶颈在哪里;另一方面,在SOC的建设和运营方面拥有多年实践和丰富的经验。因此,瀚思可以针对企业客户的实际业务需求,优化自身的安全平台,并与企业客户的业务深度融合。“基于多年的积累,我们对数据、安全、设备和应用有着深刻理解,所以在产品化方面可以做到事半功倍。”瀚思产品副总裁周奕介绍说:“我们通过先进的平台,基于场景化的适配,可以很好地解决客户的业务问题。”
瀚思全场景安全平台一站式提供了强大的威胁检测、事件响应以及合规性管理等功能。该平台可扩大SOC在组织范围内的威胁可见性,提供智能分析,指导事件响应,并且简化合规性,从而帮助SOC团队应对多种安全挑战。举例来说,瀚思企业版SIEM提供风险评分和严重性级别,可以帮助安全分析师确定事件优先级;企业版SIEM会持续评估和计算事件风险分数,直至安全分析师做出响应和整改措施;瀚思资产管理模块会持续扫描云和本地环境,发现和监控资产,安全分析师可以通过扫描结果来查看网络上运行的设备,确定这些设备上的软件和服务,判断核心业务资产以及相关脆弱性。
Gartner对入围2020年SIEM魔力象限的16家公司的SIEM产品,从架构/部署、云环境的支持、安全运营、数据管理、分析能力、响应和事件管理、内容包管理、威胁猎捕、界面及用户体验等多个维度进行了测估。瀚思成为唯一入围的中国安全厂商,胜在企业、产品和服务的综合能力,而不是某个单一的产品功能点。
Gartner特别提出褒奖的是瀚思的产品化工程能力、大数据架构、交互体验、智能搜索分析、客户服务,以及建立安全生态的策略。Gartner分析师推荐中国客户,尤其是金融客户,首选瀚思平台作为其现代化安全运营中心的核心支撑平台。
从架构导向到场景导向
其实,不仅在安全领域,很多业务领域都存在“技术为先”或“架构为先”的惯性思维。也正因为如此,很多组织和企业不是先了解自己的业务需求,而是上来就要采购“最先进或最好的产品”。
“我们遇到一些企业客户,他们先收集数据、搭建架构,但当一切都就绪后,却不知道要解决什么样的问题。”周奕表示,“这就是典型的技术导向。实际上,对企业来说,更积极有效的方式是‘场景导向’,即先明确问题在哪里、是什么,然后再反过头来寻找适合的工具和解决方案,这才是确保SOC物尽其用、获得回报的正确方式。”
现在,安全大数据平台、态势感知产品等在企业中的部署和应用越来越普遍。企业总是想方设法获取最新的技术。白皮书的数据显示,到2024年,80%的现代SOC将使用机器学习工具,而今天这一比例还不足10%。Gartner针对企业客户的调查也显示,驱动企业为SOC投资工具的一个最新因素是应用机器学习或AI技术。
所谓成也萧何,败也萧何。人们对于技术的追逐,虽然可以促进业务的发展,但是过于依赖技术,以为花大价钱购买了先进的技术就完事大吉,其实是一种误区。
“技术是服务于人和流程的。”周奕表示,“说到底,还是人最懂得技术平台,技术可以让人的工作变得更高效,但永远不可能替代人。好的技术可以让具体的业务场景、流程快速落地。这就像是专业的摄像师利用最先进的拍摄装备可以拍出更具震撼效果的照片。”
技术炒作无益于SOC价值的实现。对于许多组织而言,何时为SOC进行工具投资,以及投资什么工具是一项艰难的抉择。在这里还是要强调,无论哪种类型的SOC,人员、技术和流程都是三大基本要素,只有训练有素的员工,加上核心技术平台SIEM与恰到好处的工作流,才能让安全运营这件事落到实处。
《瀚思全场景安全平台助力高效安全运营》详细介绍了瀚思高级安全服务团队总结出的SOC团队安全运营成功之道,这也可以看作是规划、运行和运营SOC的方法论:首先,从业务角度了解企业或组织的首要安全重点,规划路线图和构建场景时都应围绕业务目标展开,以便获得管理层和主要业务部门的支持;其次,从容易实现的目标开始,用最简单的方法向管理层展示安全场景的规划以及现有数据源可以提供的帮助;再次,持续测试或评估SOC,以推动改进,举例来说,瀚思企业版SIEM嵌入了ATT&CK检测热力图以展示检测覆盖范围,方便SOC团队识别尚未检测到的关键ATT&CK战术和技术,SOC团队可参考ATT&CK知识库来规划和执行检测,从而填补差距;最后,通过自动化提高效率和生产力。
从架构导向到场景导向,SOC应以实现业务目标为核心和宗旨,将人、技术与流程完美结合。《瀚思全场景安全平台助力高效安全运营》白皮书揭示了SOC运营的关键所在,为企业的安全实践提供了有益借鉴。
《瀚思全场景安全平台助力高效安全运营》白皮书由Gartner与瀚思科技合作发布,从SOC和业务的视角,深入探讨采用以结果为导向的方法组建团队、设计流程,以及评估所需的技术架构,以全场景安全平台护航企业的数字化转型。
英文原版下载地址 https://www.gartner.com/technology/media-products/pdf.jsp?g=HanSight-1-1XRYPWPD
(扫一扫领取中文版报告)
长按二维码识别关注云报
云报
小编微信:Taogebj
联系邮箱:[email protected]