欢迎光临第五届中国汽车网络信息安全峰会2020!

网络安全报告和相关CISO睡眠模式中的设计缺陷

发布日期:2020-04-11

GRCCIoVSecurity

2020-04-11 12:58:42

手机阅读


克服数据驱动型企业中的信息超载



我最近停止使用健身追踪器,尽管不是由于网络安全漏洞或隐私问题。相反,它归结为该应用程序提供的绝大多数负面报告。



像许多CISO一样,我睡得很少。就我而言,每晚睡五到六个小时是遗传的。尽管跟踪器收集了详细的遥测信息,但该应用程序仅提供与其他人的比较报告。尽管有我的经验,该应用程序惊人地声称我连续几个星期都出现了严重的睡眠问题。


无需个人定制即可生成高度准确的报告是当今许多网络安全解决方案始终存在的设计缺陷。


一些解决方案基于各个组织提供高度详细的遥测和报告。在组织部署安全信息和事件管理(SIEM)解决方案之前,我们需要遍历其端点检测响应(EDR),防病毒(A / V),防火墙,入侵检测系统(IDS),入侵防御系统( IPS),内部风险管理平台,特权访问管理平台,各种平台日志(例如syslog和Windows事件日志)以及其他日志。


避免数据过载引起的恐慌或疲劳


SIEM解决方案有望成为查看这些警报的唯一平台,不幸的是,这导致了我们在安全运营中心(SOC)分析师中出现警报疲劳的文化。在没有足够背景的情况下为组织提供所有这些数据通常会产生以下两种结果之一:恐慌,因为一切都是蜂鸣,必须紧急;或疲劳,因为一切都在响,并且无法知道这是否正常。


其他网络安全解决方案可根据行业垂直或行业规模提供出色的比较数据。威胁情报是一个很好的概念,因为组织可以看到类似组织的情况。不断模拟攻击和破坏的能力(类似规模的公司所看到的)可以提供价值,并帮助发现未正确配置或根本没有部署的控件。将您的组织和供应链视为威胁参与者的方式同样可以提供价值。


但是,该领域的解决方案往往模棱两可,并且缺乏提供价值所必需的组织定制。仅当您可以检测到那些攻击已经发生或正在被阻止时,知道像您这样的组织往往会因经济原因而受到国家的攻击才有用。知道您所在市场的软件供应链往往容易受到JavaScript注入的攻击,从而导致Magecart式的攻击,这只有在您可以评估您的实际软件包和平台是否易受攻击的情况下才有所不同。否则,这些解决方案只会帮助强化以下信息:世界上正在发生坏事。


力求以数据为依据的决策


每个月都有一个供应商的报告横穿我的办公桌,使我的脸上露出笑容。该报告显示事件的数量,我们组织之前从未见过的新事件的数量,在相同行业的类似规模的组织中观察到的典型事件数,以及其他组织正在看到的新事件。也有其他数据,但是该报告只有四页,其中包括一页分析师的评论和建议。由人工智能和人类分析人员混合处理的大量幕后数据,但对其进行了汇总,以便提供上下文并支持决策。


CISO不仅可以了解其组织的具体情况,而且还可以了解其如何适应全球威胁形势以及与同类组织的比较,从而在晚上睡得更好。当您考虑2020年及以后的网络安全投资预算时,请考虑放弃那些设计报告不佳的解决方案,这些解决方案会产生压力,或造成阻碍决策的模糊性。


CISO的作用不是读取所有数据并自行得出结论。相反,它是在做出决定或将这些决定提交给董事会之前,对可信赖的顾问的摘要和意见进行审查。



作者:凯恩·麦克格莱德(Kayne McGladrey)

CISSP的Kayne McGladrey是Pensar开发的安全和IT总监,还是IEEE的成员。在他20多年的职业生涯中,他曾与多家财富500强和全球1000强公司的公司领导一起制定和实施有效的政策来减少网络威胁。他还是多个媒体机构的负责人,也是IEEE公共可视性计划的发言人。




END





点击上方蓝字关注我们




  • 电话咨询
  • 15021948198
  • 021-22306692
None