安全运营中最大的开销,来自因没收集整理日志数据而错失的机会。为能更高效地运作,安全运营需收集更多数据以支持检测和验证,影响分析与响应。对安全运营中所用数据的审查显示,不仅仅是安全日志,而是所有数据都对高效安全运营有用。
波耐蒙《2018数据泄露损失研究》表明,数据泄露事件的平均总损失范围在220万美元到690万美元之间,数额依泄露的记录数而定。而且,这仅仅是数据泄露的损失影响,而不是考虑到其他各种安全问题的总花费。但高效安全运营能为中小企业节省数百万美元是肯定的。
网络安全领域,最聪明的人不会去做琐碎的日志分析工作,有很多更有趣的项目等着他们临幸。
既然人才如此紧缺,我们又怎么能正确地审核所有日志呢?答案从来只有一个:培训更多的人才+减少日志数量。
但运营安全中存在一个最大的障碍:少并不是多,少就是真的少了。更少的数据意味着更窄的视野,也就意味着更少的警报,更少的验证数据,只有更少的信息可以用于评估影响,也只有更少的数据可以用以响应。由此,安全事件被漏掉,而数据不足又必须检测并响应时,就不得不耗费额外的资源从别的地方获取数据,于是,遭遇安全事件的花费就开始增加了。事件遗漏和响应数据不足所造成的额外开销,远比减少日志数据所省下来的那点儿人工费多得多。
众所周知,数据就是金钱。Facebook的商业基础就是建立在这个原则上的。日志数据不是垃圾,只要用得好,它们可以创造很大价值。
当今世界,每个人都被数据包围,数据的作用远超人们想象。看看各公司企业每天忙于收集数据,砸钱理解数据,我们就知道,业界终于开始意识到所有数据都是安全数据了。
过去,公司企业的IT部门,尤其是企业的安全供应商,都是挑选他们认为重要的数据来进行安全威胁管理。上世纪90年代和本世纪初见证了安全信息与事件管理(SIEM)工具的兴起,这些工具被用于收集可导致基础设施内出现漏洞的数据并提供对这些数据的访问。然而,尽管完全转变观念尚需更多工作,我们如今对安全数据的理解已经与SIEM统治时期大不一样了。在那个时期,真正庞大的数据日志还真不多见。不收集所有东西被认为是相当重要的一条原则,更别说分析了。
在那个时候,我们大多关注的是“阻止”条目。但随着我们对安全数据的理解加深,“允许”明显已经成为真正的问题。
取决于防火墙对UDP流量的处理方式,防火墙开启完整日志时,日志数据主要由允许数据流构成——约85%。被阻挡的数据在安全人员看来是“完整的”,或者已经被解决了的事件。但之前的安全事件已经证明,成功的攻击发生在经允许的数据流中,而不是被封挡了的事件里。公司企业已经开始意识到了这一点,安全数据定义的不断阐明反映出了这种意识上的改变。
从员工访问的数据到他们对该数据的访问请求都可以被认为是安全数据,而这还仅仅只是个开始。移动数据、社交媒体数据、位置数据、地理信息数据等等都是安全数据,能深刻影响公司的安全运营甚至司法公正。
在人工拣选重要安全数据时期,所谓重要数据的范围是狭窄而静态的。如今,各种设备、家电和汽车都接入了网络,以前的标准完全不适用于当前纷繁复杂的网络。安全数据选取标准需要改变。各种应用和程序所产生的数据绝对应该归到安全数据范畴。甚至智能冰箱、智能手机、网络摄像头等等设备想要与你共享的数据也都应该打上安全数据的标签。
看看街上的摄像头吧。每个在街上走动的人,兜里都揣着一个摄像头。ATM、加油站、酒店大堂和快递站都挂着摄像头。无论这些摄像头的目的是什么,它们都能提供视频信息、GPS信息和电话呼叫元数据等可用来破案的司法证据。这些设备开始产生数据时,显然是不会预知这些数据的最终用途的。
不过,这种认知上的转变并不够快。一篇接一篇的报道显示,公司企业并不信任自己当前的安全解决方案。随着网络攻击事件的上升,企业的花销也在增加。为什么呢?因为过时的解决方案压根儿存储不了现代环境中一天的数据收集量,更别说一年的了。使用无法满足今日巨大的可扩展性需求的解决方案,类似于得了不断恶化的哮喘病,花再多钱跑再多趟医院似乎都不会好。
商业在于效率。商场如战场,品牌解决方案也保不了你一世长胜。高效收集并理解自身数据的公司不会犯太多错,也不会花太多冤枉钱。
波耐蒙《2018数据泄露损失研究》:
https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/
本文转自安全牛,nana
原文链接:https://mp.weixin.qq.com/s/cv3IA5K0m-c-Qn5J--QmIw