安全編排與自動化的現實演進路線
責編:gltian |2019-08-27 14:03:14安全團隊常尋求以技術應對安全挑戰。但有時候,引入新產品反而會制造更多問題。
面對如何緩解風險的挑戰,安全團隊通常從技術上找尋解決方案。然而,有時候投資新產品反而會給公司整個安全生態環境制造新的麻煩。
實際操作中,不是所有的工具和技術都能協同工作。很多情況下,公司企業已經坐擁幾十上百種不同工具和技術,卻往往連弄清自己到底在用哪些技術都做不到,更別提知道這些在用技術的功能了。
安全人才短缺已是不爭的事實,公司企業苦于無人可用的窘狀并不鮮見。這種時候,用技術來克服人手短缺問題的想法往往顯得特別誘人。
于是,公司企業該如何調整期望值,建立清晰有效的安全編排與自動化演進路線呢?
放棄幻想,面對現實
安全編排與自動化的概念本身新穎奪目。但投入更多技術并不能保證足以解決多個孤立工具無法協同工作的問題。
整個公司的基礎設施及數據安全需要人手來維護,所以實際技術實現肯定會有失敗案例。很多公司投資此類平臺的動機都不怎么切合實際。
這些動機來自于企業正在經歷的痛點,比如說安全團隊承受的來自董事會的靈魂拷問:“你有這個嗎?我們是不是很安全?我們很關注 IT 安全,可不想看到整個公司成為下一個曝上頭條的悲劇。”
以數據防丟失 (DLP) 為例。約十年前初登場的時候,DLP 為廣大首席信息安全官 (CISO) 呈現的前景,是其實現可保護數據,防止被盜。但公司企業很快便被現實好好教育了一番,認識到該解決方案不是裝好后放著不管,就能自動達成市場銷售人員許諾的功效的。決定成敗的細節遠比想象中多。
對有很多不同平臺、數據源和過程需以不同方式照管的大型復雜基礎設施而言,一套多功能解決方案連權宜之計都算不上。
公司企業往往要到購買后 10 到 12 個月,才會開始意識到 DLP 并不完美。每個營銷承諾中都包含有各種各樣的附加說明。安全自動化這一新領域也不過是在見證這種營銷手段的重復。
安全工具能協同工作嗎?
多數公司企業最需要的,是能在當今復雜環境中順利運轉各種程序的資深工程師。
苦于人力資源短缺困境之時,很多公司企業都會向技術解決方案要產能。但即便是同一供應商的解決方案,也會有不一樣的用戶界面和工作流橫亙在一套產品中。
既有助于解決人手不足難題,又能確保環境始終統一的解決方案,或許可以考慮下軟件即服務 (SaaS) 或托管服務。此類服務的供應商提供服務運行所需的人力和專業知識,客戶可與其合作定義自己想要獲取的服務。
另一個解決方案是尋找有健壯 API 可供集成的產品。現代安全平臺會利用 REST 之類通用 API,可以集成第三方數據以做欺詐分析。
開放架構的集中式云平臺可以提升各數字信道的可見性,比如互聯網和移動網絡。另外,很多公司企業也提供應用或專業服務來打造或支持所需集成。
由于靜態程序驗證安全不再滿足需要,專家建議,安全水平應最好與風險水平對齊。帶編排的身份驗證技術和方法能夠為相關交易風險動態采用合適的身份驗證方法。公司企業能由此達成安全、用戶體驗和監管合規目標。
管理編排期望
最好的安全編排對終端用戶完全不可見。以常用的手機銀行交易為例。隨著時間推移,手機銀行交易行為越來越普遍,風險也不算高。
但只要交易參數有變,比如交易額、交易地點、位置設備、越獄/已解鎖 root 權限的手機等,風險亦隨之上升。對于低風險交易,用戶身份驗證可以是平滑無縫的,比如指紋掃描;隨著風險上升,就需要額外的身份驗證步驟了,比如人臉識別、PIN 碼輸入、行為特征匹配等。
這種驗證機制有多重技術在提供后臺支持。風險分析技術產生精確的風險評分,移動安全技術評估設備和移動應用風險,基于風險水平的身份驗證方法及編排,則為每次交易動態執行精準身份驗證工作流。多重技術協同運作,方確保每次交易都應用了恰當的安全水平。
為運用自動化技術達成該安全編排水平,公司企業應先坦誠評估安全生態系統中有效和無效的技術。審查哪些工具給公司客戶、合作伙伴和供應商造成了麻煩,哪些技術降低了移動網絡等關鍵信道的可見性。識別低效過程,比如需要人工欺詐審核或增加誤報的那些。
而公司企業最應該擁有的,是一套成熟的過程。真實評估編排與自動化可對公司及盈利產生切實幫助的地方,有助于識別真正有效的實際過程。
只要一步一步踏實前進,從一開始就非常現實,不任由供應商向你許諾整個世界,那你的安全編排與自動化之旅就會個積極得多的良好體驗。