随着网络变得原子化,专业化的需求开始发挥作用。基础设施分布在遗留、本地、混合、多云和边缘环境中。组织拥有安全运营中心 (SOC)、网络、云运营,在某些情况下还拥有运营技术 (OT) 团队,所有这些团队的任务都是确保业务的正常运行和安全。每个团队都由具有专业知识水平和他们使用的特定工具的主题专家组成。
当能力、术语、构造和可用数据对于每种类型的环境都是唯一的时,团队就会在孤岛中运作。因此,很难全面了解整个组织正在发生的事情以改进保护、保持合规性和优化性能。
寻找共同语言
需要的是能够使每个团队都能完成工作并实现团队之间协作的工具。随着网络变得多样化和分散,这变得越来越难以实现。不同的团队有自己的工具,他们对这些工具了如指掌,但与其他团队的交叉价值有限。
打破团队之间障碍的第一步是找到一种这些团队可以使用的语言和一种他们都可以使用的工具,而无需了解每个团队运作的不同环境的超级细节以及他们如何描述正在发生的事情。将其视为一种共同的根语言,但具有不同的方言。不同的团队可以共享信息而无需来回转换,并拥有保护其特定环境所需的能力。
添加上下文以加深理解
下一步是能够使用我们都理解的常用关键词来合并上下文。在功能上,团队可能会以非常不同的方式使用该工具;SOC 分析师可能会使用该工具进行威胁搜寻,网络团队可能会使用它进行网络可视化和性能测试。然而,一种富含组织背景的语言可以成为将两个团队凝聚在一起的粘合剂。
将上下文标签应用于相同的标准化数据可以创建他们可以共享的企业知识。突然之间,“这个 IP 地址与那个 IP 地址对话”,变成“这个 IP 电话与云中的特定容器对话”或“这个笔记本电脑与这个视频监控系统对话”。团队可以使用相同的工具和相同的语言搜索和提取他们需要的信息。他们不必经历漫长而繁琐的过程来弄清楚某些东西在他们的 AWS 云工具、Azure 云工具、OT 系统和 IT 系统中的含义。翻译是为他们完成的。
更快地达到相同的含义
现在,每个人都可以直观地看到他们拥有什么、正在做什么以及跨环境发生了什么。他们可以更快地理解相同的含义,并迅速采取行动以采取保护组织所需的措施。例如:
- 如果有扫描尝试或暴力攻击,不同的安全团队对正在发生的事情有一个一致的看法——从跨不同云的数据中心到他们的 OT 环境。他们可以进行自己的调查以回答不同的问题,共享相互关联的问题,并协作以全面检测和响应。
- 网络运营团队可以使用该工具找出导致网络负载的原因并快速解决性能问题。
- 威胁治理团队可以查看设备是否正在与高度关注的国家/地区通话,或者是否存在不应该出现的社交媒体流量,然后将其阻止。
- 治理风险和合规团队可以根据现有的监管控制来验证运营合规性。
从检测威胁到新服务、路径、设备和用户的错误配置——当团队有办法打破企业孤岛并查看和了解正在发生的事情时,他们可以在日益分散和多样化的环境中加强保护。
