Corvid的Andrew Nanson说,安全应该是由企业推动的
据国际道艺业公司超电子集团超电子集团的安全服务专业官Andrew Nanson(Andrew Nanson)的介绍,由产品驱动的信息安全系统对业务不利。
“安全系统应该是业务驱动的 - 它应该是关于为您的业务找到合适的安全产品,”前网络安全顾问和英国的智慧和国防机构告诉电脑。
南森还认为,安全投资,特别是在安全运营中心(SOC)等高票项目中,应该对业务有可衡量的福利或价值。
“如果你有一个SOC,你应该衡量自我提供网络防御的财政支出,因为每磅私营部门在网络防守上花费的每一笔私人部门都是一个纯粹的利润,”南森说。“
Corvid使用了几个指标来证明其支出,例如每件事费用,随着SoC调查每年的事件的数量而下降,以及由防病毒检测系统等系统错过的检测次数。
“真正可怕的是我知道那里有一个SOC,花费了数百万英镑,每年花费数百万英镑,但只有数十个事件,但这并不是每个事件比率的良好成本南森说,该公司是否符合物有所值,这是值得怀疑的。“
他说,所有SoC都应该希望通过提高他们的服务质量来提高效率,同时降低成本。
“这就是许多组织所做的云服务以及为什么他们已经起飞了,但这也是许多IT经理所感到威胁的原因,因为他们未能创新,因此未能提高他们的服务质量,”他补充说。
他说,SOC需要不断发展,以跟上威胁演员,如果他们未能这样做,企业需要质疑他们为什么投资SOC。但现实是,大多数SOC依赖于安全信息和事件管理(SIEM)系统的警报。
“但这必须是网络防守最低的类型,这就是为什么组织应该通过提出在过去一个月或甚至过去一年中检测到攻击的创新来挑战他们的SoC,以及SoC可以南森说,这项业务应该问其静态检测方法如何跟上敏捷威胁演员的敏捷威胁演员。“
“不幸的是,大多数SOC所做的是它们的日志和寻找检测到病毒的防病毒日志,你必须询问为什么该组织在防病毒系统上不花更多钱。”
在建立SOC之前,南森表示,组织首先要评估是否需要一个,如果有的话,如果有的话,他们应该确定是否必须在内部完成或它是否可以外包。
“大多数组织外包他们的工资单,因为它可以将其自我耗费20%至30%,因此将其外包给致力于执行薪资的公司将其外包能够以低得多的成本,”他说。“
南森说,组织对组织进行自己的网络防守并超越防病毒系统可以做的是挑战,因为很难找到,吸引和留住真正知道他们正在做什么的真正才能的人。
“发现人们使用图形用户界面运行安全系统相对容易,但当这些系统没有与威胁演员保持速度时,他们需要在十六进制代码级别处理攻击者时,他们可能无法应对, “ 他说。
据南森说,如果人们拥有正确的技能 - 甚至过去在国防部(Mod)或情报机构的网络安全经验也无法保证他们知道他们正在谈论什么。
“大多数MOD系统未连接到互联网,因此不要面对大多数私营部门系统面部的攻击数量,这意味着来自MOD的某人可能不会处理企业面临的攻击规模, “ 他说。
南森说,缺乏真正的人才不会持有人才不会留在那些技能没有完全行使的组织。
“如果你的组织没有面临严重的攻击水平和国家赞助的攻击,那么好人不会留下来,因为他们不会觉得他们受到挑战,”他说。“如果一个组织无法吸引并留住网络防御中的最佳思想,他们应该认真考虑将其安全外包给那些所做的公司。”
他说,维护内部网络防御能力的另一个挑战是,IT安全团队通常鼓励组织投资最新的安全技术,以追求“深防御”策略。
“现实是,攻击者知道这一点并测试他们对标准安全产品的利用和技术,这意味着策略中的策略价值很小,因为部署各种防病毒系统,因为攻击者对所有人进行测试,”南森说。“
其他防御策略,如网络的分割,价值也有限,因为威胁演员越来越受应用程序级别的攻击,因为应用程序旨在跨组织工作。
“分割通常使网络更难以管理,但IT系统被设计为用户可用,如果用户受到损害,那么这些用户可用的任何系统也可供攻击者使用,”纳森说。
他指出,现在,大多数攻击者通过应用程序获得组织,并且大多数妥协将在申请级别开始。
“即使是最近看到复兴的恶意,也是一种应用程序级攻击,因为它正在渲染代码并在浏览器中执行攻击,并且没有数量的网络分段将阻止它,”南森说。
他强调,虽然网络分割没有错,但组织必须考虑风险,并评估做出的成本是否值得缓解,或者是否还有其他可能做出成本较少,并且对养殖产生更大的影响安全级别。
“例如,使用安全的浏览器,确保所有浏览器都会修补到日期,禁用浏览器插件和通过折衷的DMZ [Demilitarized区域]机器而不是在本地主机上的服务器可能是预防损害的更有效的方式大多数SOC,“南森说。
为了处理超出防病毒和防火墙系统范围的威胁,他说使用托管安全服务提供商(MSSP)比尝试设置SOC更为逻辑,但他承认在市场的下端,MSSP需要要做一些工作,让他们的服务更实惠。
“所有MSSP都是负责任的服务提供商,以创新为我们所做的更具实惠的成本,”他说,但是警告了“桩 - IT高,卖出它便宜”的方法,因为这会不能与攻击者的敏捷性保持步伐。
南森表示,直到有能力为每个人提供管理的安全服务,包括微型企业,包括微型企业,其中最小的企业需要意识到他们的计算机会受到损害的风险。
“任何机器都可能受到损害,所以良好的起点不会将任何东西放到计算机上,您无法承受受损,并采取基本预防措施,例如确保您的银行使用双重认证,”他说。
作为一个高端MSSP,Corvid不依赖于攻击者研究的任何标准安全产品。南森倡导猎人的方法,其中一支由攻击信息存储库的分析师支持,主动寻求他们假设的攻击者受损系统。
“猎人会看看似乎是”正常“以及异常,因为这就是你能找到攻击者 - 他们在灰色空间中运作,”他说。“如果您在调查中没有获得至少50%的误报,则不会调查攻击者经常运行的灰度空间。
“在泛译中,我们在网络级别分析了在主机级别和元数据级别,在IT环境中将我们的智能应用于尽可能多的不同地方。”
他说,基于产品的安全性的安全方法被注定为失败,因为攻击者非常聪明,并且敏捷。“相反,您需要一个不断发展的能力平台,并与攻击者一样敏捷。”
根据南森的说法,这是检测妥协的最有效的方式,因为如果组织追捕,而不是“坐回等待某些东西宣传攻击正在进行的攻击”,他们是主动而不是反应,所以它们可能会减少攻击者的机会窗口。
“在没有安全产品的情况下,保证100%的时间找到攻击者,这阻止了他们的曲目,并且可以告诉你他们所在的地方以及它们如何进入,你需要一个不断发展的,主动的狩猎方法,你不断发展南森说,看着发生的事情,你不断设计侦查妥协的新技术。“