在尋找防御不斷增長的威脅方法時，企業(yè)在網(wǎng)絡(luò)安全工具和服務(wù)上的支出不斷增加。

　　這意味著許多CISO、CSO和其他高級管理人員可能會遇到工具泛濫的問題。對于更大、更分散的企業(yè)或經(jīng)歷過大量合并和收購的企業(yè)來說，這尤其令人擔(dān)憂。

　　“如今，安全團(tuán)隊在處理其生態(tài)系統(tǒng)中工具激增的問題時正面臨困境，”系統(tǒng)集成商Myriad360的現(xiàn)場CISO Jeremy Ventura表示，“威脅行為者利用AI等技術(shù)大幅增加了攻擊頻率，導(dǎo)致防御者部署了新的安全工具和服務(wù)以應(yīng)對威脅。”

　　此外，云服務(wù)的使用增加以及企業(yè)擁有、發(fā)送和接收的數(shù)據(jù)量也在不斷增長，Ventura說。“所有這些因素都導(dǎo)致了供應(yīng)商泛濫的問題，因此需要進(jìn)行整合。”

　　最近的行業(yè)研究顯示，大量CISO希望優(yōu)先考慮安全解決方案和控制的整合或簡化。更好地處理安全工具泛濫問題可以帶來成本降低等好處，并且通過更精簡和高效的網(wǎng)絡(luò)安全程序增強(qiáng)安全性。

　　“對于企業(yè)來說，減少使用的供應(yīng)商數(shù)量以簡化管理和監(jiān)控是至關(guān)重要的，”IT服務(wù)提供商Infosys Cobalt的執(zhí)行副總裁Anant Adya說，“工具和服務(wù)的整合顯著減少了復(fù)雜性，并消除了數(shù)據(jù)存儲中的漏洞，使企業(yè)更容易受到網(wǎng)絡(luò)安全風(fēng)險的影響。”

　　控制網(wǎng)絡(luò)安全工具的任何努力的重點(diǎn)是由CISO和其他安全領(lǐng)導(dǎo)者進(jìn)行監(jiān)督。“網(wǎng)絡(luò)安全工具需要得到有效管理，”托管服務(wù)提供商VPS Server的創(chuàng)始人Robert Bolder說，“首先要徹底清點(diǎn)每個網(wǎng)絡(luò)安全工具，并確保它們是最新的并且設(shè)置正確。”

　　以下是來自網(wǎng)絡(luò)安全實踐者和其他專家的一些建議，幫助企業(yè)解決安全工具泛濫的問題。

　　消除不再有效的工具

　　簡化安全工具堆棧的第一步應(yīng)該是徹底評估哪些工具仍然對你的安全防御有價值，畢竟，每個企業(yè)在某個時候都會為了某個特定目的部署安全工具，但后來由于情況變化，這些工具變得不再需要或不再有用。

　　所有控制和工具都應(yīng)該與降低超出企業(yè)容忍度的風(fēng)險的概率或可能性相關(guān)聯(lián)，風(fēng)險管理提供商Hyperproof的CISO Kayne McGladrey說。如果產(chǎn)品不再需要，就應(yīng)該淘汰。

　　McGladrey舉例說，他的一位CISO同事有一個即將到期的下一代防火墻續(xù)約。“設(shè)置防火墻的原因是為了減少數(shù)據(jù)泄露對業(yè)務(wù)的監(jiān)管風(fēng)險，”他說，“然而，該業(yè)務(wù)已轉(zhuǎn)為主要在家辦公模式，因此下一代防火墻保護(hù)的是即將出售的空辦公空間。”

　　McGladrey表示，這位CISO在遠(yuǎn)程工作場景中找到了另一種解決數(shù)據(jù)外泄風(fēng)險的方案，并與風(fēng)險委員會合作確認(rèn)防火墻不足以管理風(fēng)險。新方案更能滿足業(yè)務(wù)需求，且成本更低。

　　“任何無法與一個或多個風(fēng)險聯(lián)系起來的控制措施都應(yīng)該受到審查，并可能因缺乏業(yè)務(wù)理由而從企業(yè)中移除。”McGladrey說。

　　利用分析評估工具資產(chǎn)

　　安全團(tuán)隊可以分析從安全工具中收集的數(shù)據(jù)，以確定哪些產(chǎn)品可以被淘汰，這些數(shù)據(jù)應(yīng)盡可能自動收集并可視化。

　　“當(dāng)我從事執(zhí)行顧問工作時，我的團(tuán)隊和我參與的一個項目涉及將來自幾十種不同技術(shù)的遙測數(shù)據(jù)整合到一個CISO的單一儀表板上，展示了控制組合如何有效地降低風(fēng)險。”McGladrey說。

　　“矛盾的是，這個儀表板的好處在于，它使CISO能夠?qū)Ｗ⒂谑↑c(diǎn)，那些雖然存在但未被有效操作的控制措施，或經(jīng)常失敗的控制措施。”McGladrey說。

　　這使得CISO能夠在董事會層面討論特定業(yè)務(wù)部門未能有效操作某個工具的時間，或者數(shù)據(jù)如何顯示該工具經(jīng)常失效。操作困難或經(jīng)常失效的工具可能是淘汰的候選者。

　　通過自動化提升安全姿態(tài)

　　盡可能使用自動化也可以幫助安全領(lǐng)導(dǎo)者找到減少安全工具泛濫的機(jī)會。

　　“優(yōu)先考慮具有強(qiáng)大自動化功能的工具集，”安全和專業(yè)服務(wù)提供商Api Group的網(wǎng)絡(luò)防御運(yùn)營信息安全經(jīng)理Carl Lee說，“沒有自動化功能來整合警報、工單等，管理多個安全工具對較小的團(tuán)隊來說是困難的。”

　　“自動化是簡化安全運(yùn)營的關(guān)鍵，”金融服務(wù)提供商Block的安全工程師Prahathess Rengasamy說，“自動化重復(fù)性任務(wù)如補(bǔ)丁管理、威脅狩獵和事件響應(yīng)，以減少安全團(tuán)隊的負(fù)擔(dān)并最大限度地減少人為錯誤。”

　　Rengasamy說，在Block實施自動化腳本以處理常規(guī)安全任務(wù)，使公司能夠重新分配資源到更具戰(zhàn)略性的項目上，從而顯著提升整體安全姿態(tài)。

　　深入挖掘以根除重復(fù)工具

　　許多企業(yè)安全工具泛濫的一個重要原因是存在重復(fù)工具。

　　企業(yè)因多種原因積累了重復(fù)工具，包括并購、部門孤立、缺乏連貫的安全計劃等。無論原因如何，花時間發(fā)現(xiàn)并消除重復(fù)工具有助于大大簡化和整合你的安全堆棧。

　　第一步是對已知工具及其角色進(jìn)行評估，The Stock Dork金融投資服務(wù)提供商的創(chuàng)始人Adam Garcia說，“分析當(dāng)前工具的相似性和差異，以及飽和領(lǐng)域和可能的重疊。”

　　Live Proxies是一家提供互聯(lián)網(wǎng)代理服務(wù)的公司，發(fā)現(xiàn)不同部門在執(zhí)行類似任務(wù)(如威脅檢測和網(wǎng)絡(luò)監(jiān)控)時使用了不同的工具，其聯(lián)合創(chuàng)始人兼CEO Jacob Kalvo表示，“通過將這些工具整合到一個更大、更強(qiáng)大的平臺中，我們降低了相關(guān)成本，簡化了運(yùn)營，同時增強(qiáng)了我們的安全態(tài)勢。”

　　Kalvo說，進(jìn)行使用中的所有工具和服務(wù)的審計是管理網(wǎng)絡(luò)安全工具的首要步驟。“然后，你可以剔除冗余和功能重疊的部分。”

　　對于較大的公司來說，購買和整合大量安全技術(shù)變得越來越普遍，“因此，這些企業(yè)可能會發(fā)現(xiàn)他們有多個產(chǎn)品或平臺提供相同的功能，”McGladrey說，“例如，我曾合作過的一個企業(yè)有四個獨(dú)立的產(chǎn)品提供端點(diǎn)檢測和響應(yīng)(EDR)，所有這些產(chǎn)品都向單一的安全事件和事件管理(SIEM)平臺報告數(shù)據(jù)。”

　　這為事件響應(yīng)團(tuán)隊生成了重復(fù)的報告，并產(chǎn)生了大量的誤報，“這增加了真正陽性結(jié)果被忽略的概率，”McGladrey說，“這種EDR產(chǎn)品的重疊是無意的，該企業(yè)最近完成了一次收購，其中一個供應(yīng)商擴(kuò)展到EDR，另一個供應(yīng)商收購了一個EDR解決方案。”

　　McGladrey說，好心的IT團(tuán)隊只是簡單地認(rèn)為更多是更好的，這被識別為業(yè)務(wù)的風(fēng)險和重大成本低效問題，并在對重復(fù)功能進(jìn)行審查后得以解決。

　　考慮盡可能使用統(tǒng)一的平臺

　　統(tǒng)一的安全平臺可以幫助安全計劃整合工具集，這些產(chǎn)品套件提供了以前獨(dú)立的功能，如身份驗證和驗證、用戶權(quán)限、特權(quán)訪問和分析。

　　Api Group的Lee說，“在合適的情況下使用統(tǒng)一平臺。根據(jù)你首選的安全工具集，一些供應(yīng)商提供的統(tǒng)一平臺可以將服務(wù)整合到一個工具集中。”

　　The Stock Dork的Garcia說，“整合的好處在于，應(yīng)該為安全總體上以及特別是安全事件管理尋求統(tǒng)一的儀表板或集中管理控制臺。”

　　Garcia說，“根據(jù)我的經(jīng)驗，將端點(diǎn)安全解決方案整合到一個平臺中，不僅減少了所需許可證的數(shù)量，而且還增強(qiáng)了端點(diǎn)可見性和威脅檢測能力。”

　　Myriad360的Ventura說，對于某些企業(yè)來說，轉(zhuǎn)向“合理化”概念可能是有意義的。“將工具合理化到一個供應(yīng)商下，可以幫助將多個安全警報整合到一個儀表板中，節(jié)省檢測和響應(yīng)事件的時間。”他說。

　　此外，合理化可以幫助減少供應(yīng)商管理問題。“對于某些企業(yè)來說，一個支持團(tuán)隊和一個合同是理想的選擇。”Ventura說。

　　培養(yǎng)利用工具整合的文化

　　如果員工在安全使用設(shè)備以及使用最新安全工具方面得到更好的培訓(xùn)，企業(yè)是否需要更少的安全工具?也許是，但無論哪種方式，讓所有員工了解最新的威脅和漏洞，并讓安全人員了解如何使用最新的技術(shù)，都是一個好主意。

　　為此，Live Proxies 創(chuàng)建了一種持續(xù)改進(jìn)和培訓(xùn)的文化，Kalvo 說。“我們在 SIEM 解決方案中集成了防火墻、入侵檢測系統(tǒng)、殺毒系統(tǒng)等安全產(chǎn)品，”他說，“這不僅簡化了我們的安全架構(gòu)，還為我們的網(wǎng)絡(luò)提供了‘單一視角’的監(jiān)控能力，使我們能夠快速且明智地做出決策。”

　　但即使是最好的工具，如果使用不當(dāng)也無法發(fā)揮作用，Kalvo 說。“這就是為什么在 Live Proxies，我們定期培訓(xùn)員工使用新工具，并確保我們使用的安全工具始終保持最新，包括安裝最新的補(bǔ)丁和最新的功能，”他說，“這使我們的團(tuán)隊能夠在新危險出現(xiàn)時保持領(lǐng)先地位，并確保我們對安全投資的最大回報。”

　　Block 的 Rengasamy 說，在工具整合過程中，明智的做法是讓所有相關(guān)利益相關(guān)者參與其中，包括 IT、安全和業(yè)務(wù)部門。“提供培訓(xùn)，確保團(tuán)隊熟練使用整合后的工具并了解新的工作流程。”他說。

　　在其整合計劃期間，Block 舉辦了跨職能研討會，使利益相關(guān)者在新工具和流程上達(dá)成一致。“這種協(xié)作方法確保了平穩(wěn)過渡，并培養(yǎng)了持續(xù)改進(jìn)的文化。”Rengasamy 說。