3min. read

我們的目的不是要收集所有的數據。重要的是收集您真正需要的內容,並且運用適當的人力、程序和技術來協助改善網路安全性成果。

最近幾年,有越來越多各種規模的企業都開始從不同的裝置、日誌和服務收集 大量的流量和應用程式遙測數據。其中大部分都是用來作為營運和策略性決策 的參考依據。同樣的數據也可用來大幅強化企業的安全狀況,不過前提是必須 能透過更有效率的方式加以處理及利用。

為了強化網路安全性,企業可收集大量的數據來了解其環境內部發生的狀況。數據的來源包括日誌檔案、系統事 件、網路流量、應用程式、威脅偵測系統、情報摘要以及其他各種來源。不過若要收集這些數據並發揮其在安全政 策、威脅偵測和降低風險方面的參考價值,這樣龐大的數據量對於企業來說勢必會形成巨大的挑戰。

若您的系統無法處理您收集的數據,這些數據就不具有任何價值,也無法建立與後續行動之間的關聯性。在該情況 下,這些數據也不過只是一堆沒有用處的日誌而已。除此之外,另一個挑戰就是收集的數據通常處於各自孤立的狀 態,讓安全專業人員無法連結各個關鍵點來識別潛在的問題。無論如何分析人員都不應該盯著 25 個不同的螢幕來 嘗試手動建立關聯性,因而花費額外的時間和人力,使得識別威脅的主要目標反而受到影響。

在我們身處的產業中,網路安全所建構的世界充斥著許多不同的端點解決方案,讓各個企業都被迫變成像是水管工 一般,必須將所有不同的解決方案連接在一起。我想是時候開始思考如何找到一種更自動化且更為整合的方式,因 為目前市場上有許多工具都不是設計用來進行交互操作及共同作業。

透過自動化和劇本讓數據發揮更大的價值

收集正確的數據並藉此發揮最大的價值並非依靠單一的任務或操作就可以完成。這整個過程其實牽涉了相當多 的要素。

技術。從技術觀點來看,首先我們必須清楚知道我們到底擁有什麼。對於入門者來說,這些工具是否能識別現代化 的威脅?如果不能,您將會面臨相當大的挑戰,因為您可能無法收集任何日誌及遙測數據以作出明智的決策。

自動化對於讓數據發揮更大價值來說扮演了關鍵的角色。在收集如此大量的數據後,即使這些都是正確的數據,單 靠個人的力量恐怕也力有未逮。自動化之所以如此重要,是因為它能夠讓您更有效率地在數據中識別出真正具有價 值的事件,然後在簡單的日誌數據之間建立關聯性並深化其內容,藉此提供深入見解。

人員。 自動化能夠直接與人們的觀點相結合以發揮數據的最大價值。許多企業的安全作業中心 (SOC) 都配置了八 小時輪班一次的 IT 專業人員,只需要定時按一下重新整理並追蹤日誌即可。但光是這樣並無法發揮什麼作用。

更嚴重的是負責第一線防禦和數據分析的通常是那些第一級的分析人員,在經過一整年毫無止境地檢查日誌並決定 哪些需要提升層級等單調的作業後,每個人都早已疲憊不堪。讓我們思考一下以下邏輯:真正負責升高事件層級並 通知更高層人員的,反而是那些最缺乏經驗且待遇最低的員工。這樣的模式根本毫無意義,因此有必要立即改變。

在利用自動化來處理激增的數據,讓其成為判斷是否升高層級的實際第一線決策者之後,高階人才就可以專注在像 是威脅捕捉等更複雜的挑戰上。威脅捕捉專家的負擔必須越輕越好,因為唯