Gartner发布安全运营指南:迈向卓越安全运营的 5 项举措

这篇具有很好参考价值的文章主要介绍了Gartner发布安全运营指南:迈向卓越安全运营的 5 项举措。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

顶级组织通常会实施一套通用的安全运营活动,以实现成熟,但是,他们在应对快速发展的威胁方面仍然面临挑战。安全和风险管理领导者可以利用这五项举措来加强他们的网络防御工作,同时促进安全投资的更大回报。

主要发现

  • 旨在提升威胁检测成果的安全运营(SecOps )项目往往侧重于利用现有流程和工具识别新的威胁活动,在发现真正的未知威胁方面效果欠佳。面对当前复杂多变的威胁格局,企业机构必须采取更加复杂的方法才能隐藏难以发现的威胁。

  • 针对身份系统的攻击正在增加,但身份和访问管理 (IAM) 仍然脱离安全运营的职责范围之外,这意味着大多数企业机构对于自身面临的此类威胁缺乏了解。

  • 即使是对规模扩大和较成熟的企业机构而言,暴露面验证也属于新兴实践,尚未与安全运营实现有效的集成。这种情况往往会导致部分可能会受到威胁实施者利用的暴露面得不到解决,而负责实施安全防护的人员也无法就紧急的威胁做好检测和应对准备。

建议

致力于实施一流安全运营计划的安全和风险管理 (SRM) 领导者应该:

  • 采取综合性的威胁检测方法,通过实施基于对风险的充分了解和构建的威胁检测生命周期,实现全面的威胁可见性,从而找出最有可能引发严重业务中断的威胁。

  • 将暴露面管理、身份威胁检测与响应(ITDR )和身份威胁狩猎等涉及到的IAM工作纳入安全运营,将身份防护作为网络安全防护的重点。

  • 实施威胁情报生命周期,提高企业机构范围内威胁检测和干预工作的成果。

  • 构建威胁狩猎能力,加强7x24防护监控,攻击场景者驻留时间。

  • 创建进攻性安全项目,组建小型红队,并在威胁面管理项目中引入网络安全验证。推动进攻性和防御性安全举措之间的协调。

介绍

大多数组织都希望发展其安全运营职能,但由于资源限制、缺乏战略眼光导致决策熵或陷入过度劳累但交付不足的能力的洪流中,他们面临困难。例如,威胁检测和事件响应是具有挑战性的任务,需要的不仅仅是临时实施才能有效。顶级组织通常实施历史上具有传统性质的类似做法,可能无法识别新的或正在出现的风险。

Gartner 确定了五项举措(包括基础类别和高级类别),安全运营领导者应将其纳入其两到三年的路线图中:

1.    采用威胁检测生命周期

2.    将身份防御集成到 SecOps 中

3.    加强威胁情报行动

4.    执行威胁狩猎

5.    将攻击性安全集成到 SecOps 中

尽管包括更好的身份背景、管理威胁检测生命周期和实施威胁情报是基本举措,但随着组织对残余风险和盲点的容忍度降低,安全运营还应该解决更先进的威胁狩猎和进攻性安全方法。

当然,先进的安全运营活动并不缺乏。例如,数字取证是事件响应计划可能努力建立的一项高级安全运营中心 (SOC) 计划。然而,这项研究重点关注五项举措,这些举措被认为可以在对迫在眉睫的威胁做出更快反应和建立主动性基础方面提供最佳投资回报率。

分析

1、将威胁检测从时间点发展为托管生命周期

由于对威胁检测生命周期的管理不力,SOC 经常被告警淹没。他们要么不信任安全提供商的威胁检测技术,要么根本没有收集正确的数据来启用相关告警。

超过 40% 的接受调查的 SOC 将其最大的挑战列为缺乏背景、缺乏企业范围的可见性、缺乏流程手册、缺乏工具集成和告警疲劳

来源:SANS 2023 SOC 调查

SRM 领导者,尤其是负责安全运营的领导者,应该实施威胁检测的生命周期框架,涵盖内容开发的所有七个阶段,从识别需求到部署。与整个企业的 SRM 利益相关者协作,确保根据战略优先事项和目标管理后续可见性、检测逻辑、目标和报告。此生命周期应定义角色和职责(持续执行),以保持 SOC 在战略上与业务保持一致(参见图 1)。

图 1:SecOps 内容开发生命周期

gartner 安全运营,信安前沿资讯,安全,网络,web安全

为威胁检测和响应提供结构和规划是 SOC 成熟的基础。仅遵循图 1 中的步骤就可以在检测效率、响应速度和准确性方面带来好处,甚至可以节省与日志管理和违规恢复工作相关的成本。

确定需求

安全运营可以获取看似无限量的数据(即工作站、服务器、应用程序、云工作负载、数据库、移动设备等),可以分析这些数据的多种方式,但有效确定优先级的方法很少。为克服这些挑战,安全运营领导者必须采取的第一步是征求相关利益相关者的要求。使用业务领导层的输入来填补知识空白,以帮助集中组织的威胁检测工作。

建议采取的行动:

  • 将业务风险与当前的可见性和检测功能进行映射,并根据已识别的差距确定检测改进的优先级。

  • 从平均检测时间(MTTD)等运营统计数据扩展到更相关的结果驱动指标。

这个初始阶段必须正式化并进行管理,以确保根据威胁检测计划进行的投资的可防御性。创建一个委员会,记录批准的要求,与利益相关者会面并向他们提供相关反馈。

模型用例

尽管有许多方法和框架可以对用例或威胁进行建模(即NIST 、hTMM 、LINDDUN 、DREAD 、PASTA 、STRIDE 、TRIKE 、VAST等),但安全团队必须采取两个基本流程才能有效:映射业务环境并评估相关威胁形势。      

建议采取的行动:

  • 通过集中和维护 IT 和安全文档(网络图、数据和业务流程、资产库存和关键利益相关者)来提高可见性。

  • 确保其他安全运营人员能够访问并利用这个统一的“事实来源”。

  • 考虑替代视图,例如攻击路径图和易受攻击的“阻塞点”来识别日志源收集点。

  • 从攻击者的角度来确定监视内容和监视方式的优先级。

然而,业务环境只是等式的一半。构建全面生命周期的第二个支柱是将对威胁参与者和攻击活动的见解整合到暴露补救计划中,并作为威胁检测和事件响应的附加背景。

识别数据源并参与检测工程

检测工程师应直接与安全运营合作,识别正确的日志源并实施完整的提取、转换和加载 (ETL)。在某些情况下,他们还必须将逻辑构建到安全信息和事件管理 ( SIEM ) 平台中,以检测预定义的威胁条件。这些工程师对该过程至关重要,因为他们最终负责与产品或资产所有者合作以实现适当的日志记录级别。他们还确保所需信息在传送到SIEM 并最终传送到分析师处理告警时采用易于理解的格式。

建议采取的行动:

  • 参与检测工程功能。如果该职位已经存在,则构建一个协作工作流程来识别需求、测试和监控新的检测。如果没有,那就开始吧,即使是作为一份兼职工作。

创建或完善检测和响应流程

安全运营领导层必须确保有适当的行动手册,供分析师和响应人员对新发现做出反应。将这些流程编入检测和响应标准操作流程 (SOP) 中。SOP 应详细说明用例是什么,以及分析师或调查员在收到相应告警时应如何响应。定义明确的 SOP 可以作为创建可用于安全编排和自动响应 (SOAR) 工具等解决方案的自动化手册的良好基础,以实现持续的性能效率。

建议采取的行动:

  • 为检测分析师和事件响应人员制定 SOP,以有效调查和解决安全漏洞。

  • 定期测试这些 SOP,评估其性能并确定调整其功效的机会。

  • 从商品调查开始,为经过测试的 SOP 构建自动化工作流程以优化效率。

集成到生产中

尽管在将新用例部署到生产环境中时存在许多考虑因素,但有两个突出的因素:成本和就绪性。

新的用例通常会产生与 CPU 利用率增加、存储增加、查询负载、API 查询等相关的额外成本。在发布到生产环境之前,必须识别并接受这些因素,以便安全主管可以估计与特定风险相关的成本,而不会措手不及。

准备情况也必须考虑在内,因为新的检测逻辑通常会给 Defender 工作负载带来负担。安全领导者必须跟踪和报告相关指标,以了解这些用例如何影响运营准备情况。随着时间的流逝,这些指标可能有助于证明增加预算以增加或加强人员配备或只是重组的合理性。

建议采取的行动:

  • 评估与将新威胁检测逻辑发布到生产环境相关的成本,以避免产生意外成本。

  • 更新新用例的检测和响应程序,创建优化告警分类和响应的调查知识库。

2、将身份防御融入安全运营中

根据 2023 年 Verizon DBIR 报告,当今绝大多数数据泄露行为都包含人为因素,其中近一半的违规行为涉及凭证。尽管被盗凭证仍然是主要的攻击媒介之一,但传统 SOC 环境中用于保护组织免受身份滥用的流程、技能和工具仍然存在巨大差距。

我们将其中许多差距归因于 IAM 和 安全运营之间的历史差异。长期以来,IAM 一直被视为一种预防性控制,通过实施技术和服务来提供“受保护”的身份。另一方面,安全运营负责运营 SOC,其主要职责是检测和响应威胁。然而,当今大多数 SOC 在检测特定身份威胁方面的覆盖深度有限(见图 2)。当大多数威胁活动依赖于滥用身份来取得成功时,这种差异就会成为问题,最终导致关键的威胁检测盲点。

图 2:IAM 和 SecOps 控制之间的差异

gartner 安全运营,信安前沿资讯,安全,网络,web安全

建议采取的行动:

  • 定义身份威胁检测和响应规则并选举 SOC冠军。

o   SOC团队最终负责 ITDR 流程定义,并根据利益相关者的要求执行并集成到现有 SOC 流程中。

o   IAM 领导者负责将 ITDR 计划纳入更大的 IAM 计划,包括影响结果的预防和相关指标。

o   ITDR SOC 拥护者必须平衡这两个优先事项,并通过成为 SOC 和 ITDR 所有者之间的接口来培养融合团队的素质。

  • 利用身份上下文增强检测、响应和情报运营。

o   与检测工程师合作,加强对身份系统的监控。不仅仅是活动目录 (AD) 监控。AD 威胁检测和响应仅关注 AD 威胁,而 ITDR 还包括对其他类型 IAM 系统和工具的更广泛的身份威胁的检测和响应,包括用于访问管理的系统和工具(如Okta、Ping Identity、 ForgeRock、Microsoft Entra ID)、IGA(Sailpoint、Saviynt)、身份验证(Cisco Duo)和 PAM(CyberArk、BeyondTrust)。

o   选择身份告警关联的焦点,包括身份策略、技术和程序 (TTP)。采用用户行为分析、妥协指标以及访问管理工具中存在的其他机制(例如自适应访问或身份验证)来增强这些检测技术。

o   构建事件响应手册和自动化,将 IAM 实施纳入消除、恢复、报告和补救威胁所采取的步骤中。

o   利用数字风险保护服务来监控深层网络、暗网和社交媒体渠道是否存在泄露、滥用或不当使用的企业凭证和公司帐户。在泄露的凭据被用来攻击组织之前,主动识别并修复这些凭据。

  • 将身份注册作为减少攻击面策略的一部分。

o   盘点现有的预防控制措施并审核 IAM基础设施是否存在配置错误、漏洞和风险。

o   评估身份的有效性、规定和行为,包括意外或异常活动的特权。

o   进行旨在或包括模拟身份攻击的进攻性安全测试。包括帐户接管、特权升级路径和横向移动,作为更大的风险管理或网络安全验证计划的一部分。

o   采用提供攻击路径映射可视化的技术,说明到关键业务流程的基于身份的扩散路径,以实现权利补救优先级。

3、实现有效的威胁情报运营

对于许多安全计划来说,了解从哪里开始或如何成熟其威胁情报 (TI) 能力仍然是一个谜。然而,在缺乏优先情报要求 ( PIR) 的情况下,值得考虑 TI 能力的演变,从被动地丰富妥协指标到主动地对威胁活动进行战略评估。这些 TI 功能通常需要不同的服务、技能集和报告协议。

建议采取的行动:

  • 定义 PIR 以正式化您的 TI 计划,并作为策划收集、分析和报告的基础。

  • 使用需求对现有产品和服务进行差距分析,同时调整采购工作并筛选充分满足需求所需的供应商。

  • 衡量威胁情报计划的性能并评估情报本身的有效性,以保护预算并继续成熟。

4、建立威胁追踪实践

威胁狩猎是一项补充活动,它提供了广泛的好处,从在造成破坏之前检测威胁到评估特定网络的安全状况。然而,应该以一定程度的形式和流程进行,以避免常见的陷阱。威胁狩猎旨在主动发现可能规避现有安全控制的威胁。因此,使用最少的假设和有限的限制有条不紊地进行这些练习。因此,在执行任何狩猎之前,计划至关重要。

图 3:威胁狩猎流程

gartner 安全运营,信安前沿资讯,安全,网络,web安全

建议采取的行动:

  • 制定计划。为了获得最大收益,请定期或全年连续进行狩猎。尽管其他事件可以刺激临时评估,但请提前计划核心演练。制定一个包括每次狩猎的日期和持续时间的活动时间表。这些应该类似于项目计划,其中包含每次狩猎的时间顺序。

  • 为狩猎播种。将狩猎方法中的假设保持在最低限度,以确保不会过度缩小光圈并产生盲点。然而,应该建立一个可信的假设,狩猎的结果将提供答案。开展评估的方法有很多种,但表 1 提供了可以从何处开始的简明列表:

表1 :威胁狩猎种子示例

种子

使用范围

威胁情报

识别针对行业或技术的威胁行为者活动。使用相关指标和/或 TTP 开始狩猎。

告警趋势

识别安全设备产生的任何可疑或邪恶趋势,包括 SIEM 告警,例如侦察活动、重复受害者、重复攻击者、不良安全卫生和事件趋势。

商业风险

确定将从妥协评估中受益的关键业务应用程序/系统。

身份数据

分析从身份卫生和安全态势管理工具收集的身份数据,包括来自 IGA、PAM 和 CIEM 工具的最低权限报告的结果。Bloodhound 等一些工具还可能提供特定的威胁狩猎功能。

关键暴露

使用漏洞管理、攻击面管理、网络安全验证或暴露管理计划中的高风险暴露来识别潜在的起点。

  • 执行。狩猎过程自然会利用工具,但重点应该放在数据上。运营商应集中精力使用组织可用的任何工具来分析范围技术环境内所有来源的数据。分析应采用调查方法来证明或反驳假设。这种与传统威胁检测方法截然不同的思维方式转变使得狩猎更像是一门艺术而不是一门科学。

  • 学习、报告和修复。运营者应以折衷评估报告结束每次狩猎活动,该报告最终是一份干净的健康清单或事件响应,包括以下要点:

o   安全卫生差

o   记录/可见性差距

o   威胁检测(用例)差距

威胁狩猎者必须与业务利益相关者(即部门负责人、产品所有者、安全领导者、风险经理等)合作,在每次狩猎结束时升级这些发现以进行补救。使用这些建议不仅可以进行快速战术调整(即禁用不安全的端口/协议),还可以进行长期战略修复(即实施安全远程访问)。

5、将进攻性安全集成到安全运营中

企业可以努力将攻击性安全集成到其 SOC 中的方法之一是开发紫队计划,该计划将防御者与攻击性安全团队聚集在一起,共同执行组织响应,同时验证安全控制的有效性。

典型的紫队由蓝队成员和红队成员组成。蓝队队员是监督威胁检测和事件响应的防御者,而红队队员则负责进攻性安全测试。大多数组织将不得不启动真正的红队计划,以超越合规性渗透测试。

建议采取的行动:

  • 首先建立一支红队,确保拥有专用的资源和能力来实现目标,即使它们很小或部分外部化。将红队的任务定义为采取攻击者的观点非常重要,而且在准备好后,为更成熟和要求更高的紫队练习做出贡献。

  • 确定评估范围,预先设定期望并确保与寻求实现的结果保持一致。

  • 准备技术环境。做出必要的准备,充分配置攻击者和目标基础设施,以成功执行。

  • 促进进攻性安全团队和网络防御者之间的协作,以识别安全弱点,同时评估现有威胁检测逻辑和测试响应程序。

  • 进行事后审查。这是真实条件下压力测试得出的真实差距分析,尽管是受控和计划的。优先考虑这些发现,因为它们可能会给企业带来高风险。文章来源地址https://www.toymoban.com/news/detail-846099.html

到了这里,关于Gartner发布安全运营指南:迈向卓越安全运营的 5 项举措的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Gartner发布2023新兴技术雷达图,超级自动化安全、生成式AI是高影响力技术

    在Gartner发布的“2023新兴技术影响力雷达图”中,围绕 智能世界 、 生产力革命 、 透明度和隐私****以及关键使能技术 四大主题,对24种最具颠覆和市场变革性的新兴趋势和技术进行了评估。 其中, 边缘AI 、 边缘计算机视觉 处于雷达图核心位置,成为生产力革命主题中,在

    2024年02月13日
    浏览(45)
  • Gartner DSG数据安全治理 架构及解读

    目录 背景: 架构图:  解释: 英文解释:(自上而下) 平衡业务与风险、威胁、合规之间的关系(5个维度之间的平衡) 优先处理数据集 制定安全策略 实施安全工具 策略配置同步 在Gartner2017 安全与风险管理峰会上,分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲,

    2023年04月09日
    浏览(43)
  • Gartner指引:四大误区大揭秘,打造高效安全管理体系

    安全管理体系是一个复杂的生态系统,定义了企业的关键信息、安全原则、资源和活动(见图1)。企业机构所构建和运行的安全体系往往难以既对员工实用,又能有效管理快速发展的数字风险。因此,首席信息官(CIO)必须了解并避免陷入误区,构建强韧的安全体系,应对中

    2024年02月22日
    浏览(39)
  • Gartner:40%企业备份容灾方案亟需更替

    备份容灾解决方案对于希望最大限度延长正常运行时间并保护自己免受威胁(包括网络犯罪和自然灾害)的组织来说至关重要。备份容灾技术也在稳步推进;正如Gartner的数据中心备份容灾解决方案魔力象限中所详述的那样,“到2022年,40%的企业将更替他们在2018年初部署的备

    2023年04月08日
    浏览(35)
  • Gartner对ChatGPT 常见32个问题的解答:

    商业价值和用例 1. 什么是 ChatGPT,它是如何工作的?Chat Generative Pretrained Transformer,简称 ChatGPT,是OpenAI 于 2022 年 11 月推出的聊天机器人和生成语言工具。ChatGPT 模型在给定初始短语或“提示”时计算最可能的字母或单词集。ChatGPT 建立在 OpenAI 的 GPT-3大型语言模型系列之上,

    2023年04月23日
    浏览(51)
  • 从 Gartner 报告浅析微软 Active Directory 的变迁

    Active Directory(AD)  作为企业身份结构的一部分,多年来一直是绝大多数企业使用的主要目录系统。AD 通常是身份管理的后备数据源,可以帮助企业实现 高效、安全的集中式身份管理 ,在 IAM 领域可谓如鱼得水。对于以本地部署的微软技术为主的企业,AD就是保护企业用户,

    2024年02月08日
    浏览(33)
  • Gartner最新报告,分析超大规模边缘解决方案

    当下,酝酿能量的超级边缘。 最近,我们在谈视频化狂飙、谈AIGC颠覆、谈算力动能不足,很少谈及边缘。但“边缘”恰恰与这一切相关,且越发密不可分,它是未来技术发展的极大影响因子。 “到2025年,超过70%的组织将为其⾄少⼀个边缘计算系统,部署超⼤规模云边缘解决

    2023年04月10日
    浏览(30)
  • 上榜 Gartner | 中国领先的实时数据管理厂商 DolphinDB

    在 Gartner 近日发布的  Hype Cycle for Data, Analytics and AI in China, 2023  报告中,DolphinDB 位列 实时数据管理 代表厂商。这是自去年 DolphinDB 入选 Gartner《中国数据库管理系统供应商甄选》后,又一次凭借领先的产品能力获得国际权威第三方分析机构的关注和认可。 技术成熟度曲线(

    2024年02月14日
    浏览(36)
  • 再获认可!腾讯连续三年被Gartner列为CWPP供应商之一

    随着云的快速发展,企业的工作负载已经从服务器发展到虚拟机、容器、serverless等,部署的模式也日益复杂,包括公有云、混合云和多云等。在此背景下,传统的主机安全防护已无法满足需求,CWPP(云工作负载保护平台)应运而生。 近日,Gartner®发布《新兴技术:安全—云

    2024年02月06日
    浏览(39)
  • Gartner公布全球超融合“客户心声”, 华云数据、SmartX亚太区呼声最高

    在历经了近10年的发展后,全球企业用户对“超融合”这个词已不再陌生,超融合在计算、存储和网络资源虚拟化的基础上,用软件定义来实现IT基础设施的各种服务,并通过统一平台进行管理,为企业提供了灵活的、可扩展的和简化运维的 IT 基础设施,已逐渐成为市场的主

    2023年04月09日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包