安全可觀(guān)察性和可視性及監控
發(fā)布時(shí)間:2021-07-06 23:14
來(lái)源:TechTarget中國
閱讀:0
作者:TechTarget中國
欄目: 網(wǎng)絡(luò )安全
隨著(zhù)IT基礎設施變得越來(lái)越分散和復雜�����,這使網(wǎng)絡(luò )安全管理員很難保護用戶(hù)�、數據�����、應用程序����、系統和網(wǎng)絡(luò )免受攻擊����。同時(shí)��,層層疊疊的虛擬化��、容器化和架構疊加使安全團隊難以適當查看其網(wǎng)絡(luò )��、識別威脅�����,并在合理的時(shí)間內對其進(jìn)行修復�����。
那些整合人工智能和機器學(xué)習功能的高級安全工具宣稱(chēng)它們能夠在第一方和第三方基礎設施以及各種軟件定義的網(wǎng)絡(luò )層中提供安全清晰度���。與此同時(shí)����,對于安全可觀(guān)察性與可視性及監控的角色�,開(kāi)始出現混淆���。有些人認為這三個(gè)術(shù)語(yǔ)可以互換���,但其實(shí)它們存在明顯差異�,這可能會(huì )影響這些安全工具和流程的交互方式���。
監控向安全團隊發(fā)出警報
安全監控工具已經(jīng)存在幾十年����。大型監控工具集的工具或功能通常由IT安全管理員配置�����,以獲取各種設備或軟件日志�、簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議輪詢(xún)和陷阱�、事件消息�、NetFlow����、數據包捕獲和其他流式遙測數據��。
通常會(huì )設置觸發(fā)器����,因此當安全監控工具處理事件時(shí)���,當符合特定情況或達到特定閾值的��,就會(huì )發(fā)出警報�。IT安全人員將處理警報�����,以識別它是否是有效的安全威脅��,確定安全事件的根本原因并修復威脅�。
安全監控可以部署在主機�����、系統�、應用程序或網(wǎng)絡(luò )級別�����。但是�,傳統的安全監控工具需要管理員花費大量時(shí)間通過(guò)手動(dòng)流程來(lái)追蹤和解決事件��。隨著(zhù)基礎設施變得更加復雜�����,以及收集的監控數據越來(lái)越多����,這個(gè)問(wèn)題變得更加困難���。此外�����,安全事件通常會(huì )生成來(lái)自多個(gè)安全監控工具的警報��。這些重復的警報可能會(huì )導致安全監控疲勞�����。
可觀(guān)察性提供智能和修復
安全可觀(guān)察性有助于解決監控疲勞問(wèn)題�����?���?捎^(guān)察性平臺添加智能�����,以更廣泛進(jìn)行監控����,以確定警報的真正根本原因并幫助管理員正確修復它�����。
人工智能�����、機器學(xué)習和自動(dòng)化等先進(jìn)技術(shù)可幫助集中����、關(guān)聯(lián)和理解由各個(gè)安全監控工具的產(chǎn)生的所有警報����。
讓我們進(jìn)一步了解可觀(guān)察性的安全功能:
- 驗證預期的應用程序性能����。可設置性能閾值���,并在應用程序性能低于最低水平時(shí)通知管理員�。
- 設置行為基線(xiàn)以及當行為偏離正常觀(guān)察值時(shí)發(fā)出警報��。可觀(guān)察性工具為正?�;A設施和流量行為設置基線(xiàn)�,并在行為偏離正常閾值時(shí)發(fā)出警報�����。
- AI驅動(dòng)事件和根本原因分析����。AI可以識別發(fā)生事件的特定硬件和軟件位置�����,并提供見(jiàn)解以幫助最好地解決問(wèn)題��。
- 預測分析��。可觀(guān)察性工具不是對可能導致應用程序中斷或性能問(wèn)題的基礎設施事件做出反應�����,而是可在發(fā)生任何重大事件和中斷之前確定應解決的基礎設施區域���。
- 網(wǎng)絡(luò )檢測和響應���。NDR工具可幫助提供對整個(gè)數據安全生命周期的全面可視性��,從安全事件識別到事件解決�����。
可視性剝離網(wǎng)絡(luò )層
重要的是��,不要完全從技術(shù)角度考慮安全可視性�,而是從IT安全團隊的角度考慮��??梢曅允顷P(guān)于現有監控工具集和可觀(guān)察性架構可提供的范圍和深度�,以安全管理員易于理解的格式����。
由于網(wǎng)絡(luò )高度分布��,因此安全可視性必須能夠查看企業(yè)網(wǎng)絡(luò )的所有角落�,包括企業(yè)LAN��、WLAN和本地數據中心����,以及WAN和私有云和公共云上的遠程站點(diǎn)���。
例如����,在疫情的早期階段���,當員工被迫離開(kāi)辦公室并在家工作時(shí)��,缺乏網(wǎng)絡(luò )安全可視性的情況可能很普遍�。當時(shí)安全團隊急于加強他們的安全監控和可觀(guān)察性工具�����,以提高可視性���,包括對整個(gè)互聯(lián)網(wǎng)以及遠程位置–用戶(hù)訪(fǎng)問(wèn)企業(yè)應用程序和數據的位置�����。
安全可視性平面使IT能夠剝離每個(gè)軟件層�����,直到它到達基礎設施的基礎�����。監控工具從虛擬化服務(wù)器�����、容器和網(wǎng)絡(luò )覆蓋中獲取狀況和安全信息��。在物理硬件和主機操作系統(虛擬化軟件平臺基礎)也有額外的監控���。
不同但平等
為了突出可觀(guān)察性與可視性和監控工具的作用���,兩位IT安全管理員之間關(guān)于如何更快地解決觸發(fā)安全事件的典型對話(huà)可能會(huì )從細粒度級別開(kāi)始����,并擴展到更高級別���。
在這種情況下���,首先需要部署和配置特定工具來(lái)監控部分基礎設施��。然后將解決這些工具產(chǎn)生重疊和冗余警報的問(wèn)題����,以及將警報發(fā)送到集中工具以進(jìn)行智能分析�,并可能與單個(gè)安全事件相關(guān)聯(lián)的方式���。
輸入安全可觀(guān)察性�。監控和可觀(guān)察性工具可以部署在局域網(wǎng)和數據中心���,但公有云呢����?這就是安全可視性的用武之地���。
可觀(guān)察性與可視性和監控工具具有不同的目的����,但在整個(gè)企業(yè)安全架構中扮演著(zhù)互補的角色��。
