过去几年,公司网络安全问题引起广泛关注,相应的,分配到对抗恶意渗透者上的预算也呈指数级上涨。Gartner数据显示,2016年安全支出增长了7.9%,典型千人规模的公司要花约1500万美元来保证自身安全。
虽然大笔资金投向威胁情报馈送并急于收集尽可能多的情报,但是很多公司依然缺乏将这些数据转译成可操作情报和可衡量安全改善的能力。同时,CISO们承受的将现有和未来安全投资转变为投资回报(ROI)的压力也是越来越大了。
投资回报问题并不孤立于威胁情报
最近几年,企业安全团队大量投钱到威胁情报却效果寥寥的事实是显而易见的。大部分原因可归结为缺乏将外部威胁实时定位匹配进自身环境的能力。而且,威胁情报仅仅是更大层面上ROI问题的一个症状而已。事实是,考虑怎样最大化威胁情报投资的ROI时,不能将其作为孤立问题来解决。
威胁情报——有效安全运营&编配的一个方面
作为孤立数据,威胁情报馈送仅仅具有额定价值而已。关键在于集成和上下文。人类员工必须将警报、威胁情报和其他安全数据融入威胁故事线以构筑有效响应的基础。将威胁情报集成进全面的安全运营平台,是从初始警报到最终修复的全过程中,导航整个安全运营和事件响应的入场筹码。
拿威胁情报和自动化的关系做个例子——利用自动化,安全团队可以将入站威胁情报作为搜索/实施入站威胁,并匹配现有安全投入的触发器。通过将威胁情报与其他安全数据进行规范,并扩大案例上下文,有助于使威胁情报获得更多的可操作性,帮助企业更好地检测出于自身环境相关的威胁。可以想象一下,如果有人瞄上了你的公司,确定在用漏洞利用工具突破你的外部主机。与现有警报的自动化实时集成,就能提供所需上下文以合理排定优先级并做好修复准备。
有了正确的集成和上下文,我们就可以开始探究怎样驱动和衡量整个安全基础设施的ROI问题了。
即便有了正确的结构,我们又该怎样衡量投资回报呢?
从定义上讲,证明安全投资的价值是很难的,因为它们并非真正的回报——没有切实的资金流入。是通过预防损失和用少数分析师驱动生产力来有所收获。但这两者都比以真金白银形式呈现的收获要难量化得多。
但是,证明这难以标定的ROI又是十分关键的,要做到这一点,正确的衡量标准就非常重要了。尽管没有标准模型来评估风险 vs. 投资,安全主管们依然有一些非常清晰的度量可用于从安全运营来驱动生产力:
将整个安全运营中心(SOC)当做所有事件和情报都内部相关的整体单元将会对您的团队有所帮助:
- 减少消耗宝贵分析师时间的警报数量(包括重复警报)。通过清除误报和重复警报,分析师可以集中精力到缓解真实安全事件上。
- 提升警报调查率。触发的警报减少了,分析师就能处理更高比例的警报,减少伤害。
- 减少调查时间。利用合适的工具和上下文,分析师可以集中精力到高收益事件上,加速响应和恢复。
- 增加分析师事件处理能力。警报集群、事件减少、上下文丰富、屏幕间跳转摒弃等等,可以驱动生产力,让分析师能更有效工作,去掉增加人手的需求。
- 减少从威胁到修复的平均耗时。以上所有因素综合起来,底线就是从威胁到缓解的平均耗时从数天降低到数分钟。如果你必须要证明你的安全ROI,没有什么能比这个更有说服力的了。
北美企业数据泄露平均损失是1000万美元,已经不能忍受。利益面前,安全主管认识到了驱动分析师生产力的重要性。分析师比以往任何时候都要重要,必须配备正确的工具以响应下一代威胁。威胁情报是这些工具中的一个重要方面,但不能被割裂来看,应综合考虑。