你应该听说过这个事实,现在网络基础设施和运营团队以及信息安全团队的合作比以往任何时候都多。在我的研究实践中,我开始将此称为NetSecOps协作。
这种合作变得越来越普遍的原因之一是数据。安全团队出于某种原因需要网络流量数据,并且需要网络团队的帮助来获取这些数据。Enterprise Management Associates (EMA) 最近根据对366名IT专业人员的调查发布了关于NetSecOps协作的研究报告。其研究发现,安全团队需要分析网络数据,这导致83%的企业增加了NetSecOps协作。
通常,网络团队乐于提供帮助,但数据共享可能很困难。近63%的研究参与者表示,他们为两个团队之间不一致和相互冲突的数据而苦恼,近57%的人为与数据相关的跨团队技能差距而苦恼。
一家价值150亿美元的零售公司的网络架构师说:“共享数据的过程有时效果很好,有时效果不佳,因为安全团队对他们的要求没有明确的想法。他们会说,‘请向我展示来自网络服务器的数据。’我需要问,‘哪个网络服务器,因为我们有很多网络服务器?你想在云端还是数据中心看到网络服务器?’有时,我们很难与他们沟通。”
如何与安全团队共享流量数据
大约一半的网络团队允许安全团队直接访问网络数据源,大约22%提供基于角色的访问,28%提供管理访问。这使安全团队能够自行获取数据。不过,如果他们不知道他们在寻找什么以及如何找到它,他们可能仍然需要网络团队的帮助。
30%的网络团队设置了他们的系统,以便将网络数据自动转发到安全分析服务。这消除了与这个过程相关的通信问题。近19%的企业要求安全团队向网络团队提出单独的网络数据请求。
网络数据包代理可以促进这种数据共享。这些设备位于内联或带外,其中它们会聚合镜像或生产流量,过滤流量、向数据包添加元数据并将专用数据包流转发到单独的分析工具。
在参与EMA调查的IT专业人员中,90%的受访者表示,网络数据包代理对于促进网络和安全团队之间的协作很重要。网络团队通常会操作它们,但他们可以为安全团队提供基于角色或管理的访问权限,从而使安全人员能够将他们想要的任何流量转发到他们的工具。
数据包捕获硬件是协作的另一个重要纽带。网络和安全团队通常维护自己的数据包捕获资源。例如,安全分析工具可能有自己的集成数据包捕获资源。网络团队可能会维护一个大型数据包捕获阵列,从更大的网络接口集收集数据,以便拥有更丰富的数据集进行分析。
因此,即使有自己的抓包资源,安全团队在某些情况下仍然需要网络团队的帮助。出于这个原因,很多企业正在考虑整合数据包捕获资源。EMA研究发现,97%的受访者对至少部分整合网络和安全团队之间的数据包捕获资源感兴趣。
安全团队如何使用流量数据
EMA要求受访者确定安全团队正在如何处理他们从网络中提取的流量数据。超过69%的企业将流量提供给网络检测和响应或网络流量分析工具,这是一种新型安全监控服务,可对流量进行深度分析,以识别异常和威胁。
近58%的安全团队需要流量数据来帮助他们完成事件响应流程。他们检测到安全问题,他们需要从流量数据中得到答案。而超过55%的企业在进行实时数据包负载分析。例如,他们正在寻找数据包中的恶意软件,或者他们正在寻找从网络中泄露的敏感数据。
如果你的企业正在尝试改进NetSecOps协作,那么数据是很好的起点。寻找更容易在团队之间共享高质量数据的方法,尤其是可以弥合两个团队之间技能差距的方式。
转载请注明:IT运维空间 » 安全防护 » 安全团队对流量数据的需求推动NetSecOps协作
发表评论