Positive Technologies:无论是大型公司还是中小型企业,每个人都需要网络安全自动控制系统。
有效网络安全的概念是一个具有发展前景的趋势,在信息安全界有着越来越多的追随者。有些人认为,可以在组织内部建立防御体系,从而使不可接受的事件永远不会发生。但也有人提醒存在随机性,并提出了概率论。
不过,双方都一致同意需要通过技术来防止攻击者实施不可接受事件。这正是信息安全产品的核心所在。Positive Technologies 公司信息安全自动化主管米哈伊尔˙斯图金谈到了一个独立的产品类别——元产品。
从信息安全的角度看,什么是元产品?
网络安全产品有标准类别。这些产品包括沙箱或 DLP 系统等。在传统产品之上还有复杂的系统,如 XDR,其功能是汇总和处理来自防御级别“较低”的安全工具的数据。而元产品是网络安全发展到顶峰的产物;它运用的不是功能或其自动化,而是具有特定结果的完整流程。也就是说,用户(在我们的案例中指的是客户公司)会收到一个现成的网络安全自动控制系统。元产品本身会配置保护系统,接收和分析来自传统信息安全产品、企业的 IT 和业务系统的事件,收集有关这些事件的其他背景信息,并将它们粘合到统一的攻击链中。之后,它会评估攻击链的安全程度,并联系分析人员以验证已经形成的应对方案。
原来,元产品与传统信息安全解决方案的主要区别在于,不需要单独配置一切?
其主要区别在于,元产品的目的是防止不可接受事件的发生,这是所有产品行动的综合结果。同时,元产品还能独立执行大部分的常规操作,从而节省人力资源。Positive Technologies 将元产品分为三种类型。第一类元产品是配置基础设施保护所必需的,同时使其处于随时准备抵御黑客攻击的状态。它可以独立向 SIEM 添加缺失的事件监控任务,以消除基础设施中的盲点,向分散在端点、服务器等处的 XDR 代理分发必要的响应模块。第二类元产品能监控 IT 基础设施和业务流程的安全性,防止网络攻击,并提供建议以确保和维护信息安全水平,从而避免不可接受事件的发生。它将显示攻击者的路径和组成步骤。它将形成必要的建议,通过修改用户权限、网络访问权限、主机漏洞和其他机制来复杂化或消除这些步骤。包括 MaxPatrol O2 在内的第三类元产品可让您在因攻击者的过错导致不可接受的信息安全事件发生之前,提前自动检测并阻止攻击者。
MaxPatrol O2 和所有其他元产品都是在有效安全的理念下开发的,这样理解正确吗?
是的,我们是按照有效网络安全的理念开发这类产品的。我们首先在自己身上测试了这一方法。我们确定了我们公司不可接受的事件,即攻击者的行为可能导致公司无法实现运营和战略目标,或对公司的核心业务造成长期破坏。随后,我们定期组织各研究人员团队(漏洞猎人)进行网络演习,并在漏洞赏金平台上发布不可接受事件,即公司账户资金被盗。为了开展这项培训,我们的内部 SOC 全天候不停歇工作。但我们是一家生产网络安全产品的公司,我们拥有资源、专业知识和人员。其他组织则不具备这样的能力,在这种情况下,元产品将大有用武之地,因为它们可以在 1-2 人的帮助下有效解决网络安全问题。
有时,即使是最不可能发生的事件也会发生,尽管概率只有 0.0001%。有可能保证不发生信息安全事件吗?
当然有可能。为了防止不可接受事件的发生,企业要建立有效的网络安全,其中包括一系列措施。
当确定了不可接受事件及其实施方式后,就开始着手保护基础设施,加强其安全性,并建立威胁应对中心。这是一套集合了技术手段、流程和网络安全专家的系统,网络安全专家按照“发现并阻止”的原则协同工作,监控入侵者渗透组织基础设施的所有企图。这种威胁应对中心的行动模式,在人员短缺以及所有组成部分以统一的方式工作的情况下,将建立信息安全领域的自动控制系统。
在这种情况下,为何需要元产品?公司在没有元产品的情况下也能做到……
首先,公司需要保护的 IT 基础设施数量大幅增加。其次,黑客对它们的关注增加了,实施网络犯罪的工具和方法也更多了。很难让 SOC 中心的员工每天都执行同一类任务。这还会导致倦怠和工作变动等问题。通过将例如解析多重误报、收集事件背景、建立并手动查看响应剧本等常规功能分配给信息安全领域的自动控制系统,可以避免上述情况的发生。
对用户而言,元产品的实际效果如何?它是一个综合解决方案?还是一个单独的模块?
元产品是交钥匙式安全产品。这意味着,如果我们在公司中安装我们的产品,并以 MaxPatrol O2 的形式连接自动控制系统,那么我们将对无法阻止事先定义的不可接受事件承担最大责任。在我们的案例中,元产品是公司信息安全系统正确构建和处于最佳运行状态的保证。
与传统的信息安全解决方案相比,元产品的开发难度有多大?
开发元产品需要研发公司具备丰富的专业知识。就我们而言,我们在信息安全市场已深耕 20 多年,拥有数百名处理网络安全问题、事故调查和培训等方面的专家。
也许,专业知识的可用性才是开发元产品的主要标准。这就是为什么 Positive Technologies 公司是俄罗斯市场上唯一一家能够开发此类解决方案的公司。
谁是此类复杂自动化系统的潜在客户?与实施标准解决方案相比,他们有何获益?
任何希望在信息安全领域和网络安全自动控制方面取得一定成果的人都会对元产品感兴趣。这些人可能是在大规模 IT 基础设施中具有大量事件的大公司。现在,他们不得不使用传统的事件管理系统,但这些系统只能解决一部分 SOC 任务,无法自动处理典型事件。为了控制不可接受事件的发生,他们仍然需要雇用大量专家来手动完成常规工作:处理信息安全系统的误报、收集事件背景信息、建立响应剧本等。即使招聘了这么多专家,这些公司也很难保持他们的能力水平,防止他们迅速倦怠。