在RSAC2018第二天里,一位有着10年从业经历的CISO在演讲中开起了玩笑:“CISO什么事情最重要?我认为是夫人开心。夫人不开心,工作肯定是做不好的!”
听起来,这不过是反映美国人对家庭重视程度的一个幽默。不过据数据显示,美国CISO的平均更换时间不超过24个月,如果疲于应对频繁发生的安全事故而因此缺少了与夫人相伴,甚至因此被老板炒鱿鱼,那么夫人肯定不会那么开心。
所以,在很大程度上,做好安全运营对于CISO们来说,非常重要。
1
除了确保夫人开心以外,这位CISO还列举了两件非常重要的事情:确保IT系统不会出现任何问题;确定每年的安全投资方向是正确而有效的。
对于他来说,重要性依次递减,但是步骤却是从后向前:只有保证钱花在了对的地方,才有能力保证IT系统的安全,从而有更多时间陪伴自己的夫人。
对于美国企业来说,想要从一家供应商那里购买完整的一站式安全产品和服务是几乎不可能的事情,因为美国的网络安全供应商分工明确,不会像国内某些大厂那样产品线大而全,比如Palo Alto的核心业务就是防火墙,他们的流量分析做得很好。
所以,美国企业为了完善自身的安全版图,必须要考虑从多家不同的供应商那里,采购自己需要的安全产品。
2
2017年,这位CISO在安全投资方面的重点方向包括:
(1)SOC协同能力;
(2)多类型终端防护;
(3)云平台配置检查工具;
(4)多层面的DLP增强能力。
可以看出来,投资方向层次非常鲜明,完整的包括了云、管、端、数据以及联动分析等多个层面。到了2018年,他为企业规划的投资方向发生了一些变化:
(1)钓鱼邮件控制;
(2)用数据分析和报告的方法提升eGRC(Enterprise Governance Risk and Complianc,企业治理、风险与合规)的能力;
(3)多种工具提高SOC运营效率,从而降低安全分析师的工作压力;
(4)给安全团队配置数据分析工具和人员。
这些变化很有意思。大家都知道,2017年是勒索软件疯狂爆发的一年。事实证明大量的勒索病毒入侵都是通过钓鱼邮件,如果缺乏相应的控制手段,钓鱼邮件可以说是防不胜防;另一方面,Facebook法律法规的完善也让企业风险治理以及法律合规显得非常重要。与国内不同的是,一旦企业存在安全不合规的现象,企业不仅仅会面对舆论以及用户的指责,还会面临巨额的罚款。
从这两点来看,这位CISO着实经验老道。
3
但是,我们还能从他这两年投资重点中找出相同点:SOC平台都是他非常关注的方向。无论是日常告警事件处理、日志关联分析或者是安全应急响应,SOC平台都是不可缺少的一环。
不过在很多时候,SOC却不得不疲于应对各类告警事件,缺乏海量的数据作为支撑,并且这其中还有大量的误报;第二,SOC底层架构落后,不具备大数据的分析存储能力;第三,SOC既然叫做安全运营中心,自然少不了运维人员的支持,但是很多企业由于缺乏明确的顶层设计,并没有配备足够的人。所以,很多时候,SOC部署失败了。
所以,这位CISO正在想方设法提升SOC的运营效率,并且配备数据分析工具和研究员,用于减轻安全分析师的工作压力。
以360企业安全2016年推出的NGSOC为例。NGSOC基于的是情报+规则关联+机器学习+统计行为分析的方法,并与终端、网络以及相关安全设备做好联动,而不仅仅是简单的规则关联引擎。在360海量数据的支持下,360可以大大降低检测响应所需要的时间,并且降低设备的误报率。
4
在听完这位CISO的演讲之后,360企业安全集团专家张龙带着些许疑问:如何才能帮助CISO们做好安全运营呢?
绕着展区转了几圈,他看到了无论是大型的老牌厂商,还是刚刚入行的新贵,都可以看到几个明显动作:
第一,Cyber Security成为本次的主要话题,安全运营的范围从传统IT扩展到更大的业务和IoT领域(摄像头、IPhone、智能显示器等);
第二,检测类技术持续升温,各种沙箱、用户行为分析系统成为厂家投入的重点;
第三,基于大数据的可视化技术帮助安全分析师持续提高工作效率;
第四,客户和厂商联合建设安全的响应和处置能力。
所以CISO们,行动起来吧,为了能够让你们的夫人更加开心!现在很重要。