當(dāng)我們覺得有必要重新關(guān)注我們的核心能力和優(yōu)勢(shì)并將其余部分外包或?qū)で髮＜医ㄗh時(shí)，我們中的許多人都會(huì)達(dá)到生活和業(yè)務(wù)的一個(gè)階段。這一戰(zhàn)略決策使我們能夠在那些我們有能力解決手頭問題的地方取得更大的飛躍。

在網(wǎng)絡(luò)安全方面，我們經(jīng)常談?wù)摱说蕉?a href="http://m.qzkangyuan.com/tag/%e8%87%aa%e5%8a%a8%e5%8c%96" target="_blank">自動(dòng)化的需求，以支持能夠近乎實(shí)時(shí)地響應(yīng)新威脅信息的動(dòng)態(tài)和敏捷的安全態(tài)勢(shì)。我們的行業(yè)將此轉(zhuǎn)化為能夠阻止攻擊的發(fā)生。我們已經(jīng)并將繼續(xù)投入時(shí)間和資源來實(shí)現(xiàn)這一愿景，因?yàn)槲覀冞x擇將新技術(shù)、供應(yīng)商和合作伙伴添加到我們的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中。

然而，許多安全領(lǐng)導(dǎo)者往往較少談?wù)摰囊粋€(gè)領(lǐng)域是網(wǎng)絡(luò)安全戰(zhàn)略的人為因素，以及我們?nèi)绾卧黾铀鼘?duì)我們整體成功的影響。如今，三分之二的全球領(lǐng)導(dǎo)者聲稱 全球技能短缺給他們的組織帶來了額外的網(wǎng)絡(luò)風(fēng)險(xiǎn)，其中 80% 的人報(bào)告說在過去 12 個(gè)月中至少經(jīng)歷過一次違規(guī)行為，他們可以將其歸因于網(wǎng)絡(luò)安全技能差距。

現(xiàn)在是討論人為因素作為整體網(wǎng)絡(luò)安全框架的一部分的時(shí)候了。

增強(qiáng)、自動(dòng)化和外包：人為因素

如果我今天問你有多少技術(shù)安全功能被用作服務(wù)，以及你目前正在評(píng)估多少，答案將是——最多。安全供應(yīng)商已經(jīng)為您的技術(shù)運(yùn)營(yíng)、維護(hù)和提升關(guān)鍵安全功能，無論是您的 IPS、URL、DNS、沙箱、AV、CASB、物聯(lián)網(wǎng)等，通過提供安全情報(bào)讓它們隨時(shí)應(yīng)對(duì)最新威脅。網(wǎng)絡(luò)安全專家團(tuán)隊(duì)已經(jīng)在幫助您遠(yuǎn)離當(dāng)今的網(wǎng)絡(luò)犯罪分子。自動(dòng)化流程也是如此。你們中的許多人都在創(chuàng)建完全自動(dòng)化的安全態(tài)勢(shì)、SOC 和流程。在許多情況下，您和您的供應(yīng)商是一起踏上這段旅程的。

但是，當(dāng)我們談?wù)撃膯T工時(shí)，卻缺乏有組織的流程、戰(zhàn)略或優(yōu)先事項(xiàng)，甚至缺乏技能提升的時(shí)間。甚至更少的人正在評(píng)估 SOC 團(tuán)隊(duì)執(zhí)行的哪些任務(wù)最適合外包。

可以通過三種策略將服務(wù)應(yīng)用于您的安全團(tuán)隊(duì)、員工和合作伙伴，以更好地保護(hù)您的組織。首先是利用每天都在當(dāng)今網(wǎng)絡(luò)戰(zhàn)爭(zhēng)前線度過的敬業(yè)網(wǎng)絡(luò)安全專業(yè)人員的技能和技術(shù)來增強(qiáng)他們的能力。接下來是使您團(tuán)隊(duì)的許多流程自動(dòng)化，以提高準(zhǔn)確性、平均檢測(cè)時(shí)間 (MTTD) 和平均修復(fù)時(shí)間 (MTTR)。您將選擇外包網(wǎng)絡(luò)安全的某些方面，以使您的團(tuán)隊(duì)專注于手頭的關(guān)鍵任務(wù)。

提高雇員

今天的許多攻擊都是從利用漏洞開始的，無論是技術(shù)還是人為失誤（例如網(wǎng)絡(luò)釣魚）。我們都努力通過添加外部攻擊面管理 ( EASM )、網(wǎng)絡(luò)檢測(cè)和響應(yīng) ( NDR )、 欺騙、端點(diǎn)檢測(cè)和響應(yīng) ( EDR ) 甚至 安全等高級(jí)功能，在攻擊周期中盡早預(yù)防和阻止攻擊電子郵件網(wǎng)關(guān)和 Web 應(yīng)用程序防火墻 ( WAF ) 來保護(hù)關(guān)鍵資產(chǎn)——所有這些都是為了最大限度地減少損害并避免漫長(zhǎng)的補(bǔ)救過程。

在許多情況下，您的員工是您的第一道防線。假設(shè)您以評(píng)估技術(shù)的相同方式評(píng)估您的員工，尋找需要定期“修補(bǔ)”的漏洞（知識(shí)和技能差距）。然后應(yīng)該很容易理解對(duì)網(wǎng)絡(luò)安全程序的需求。這種持續(xù)改進(jìn)的過程可以而且應(yīng)該與精通當(dāng)前攻擊策略的網(wǎng)絡(luò)安全供應(yīng)商/團(tuán)隊(duì)合作，將這些知識(shí)整合到您組織的員工培訓(xùn)計(jì)劃中。

SOC 團(tuán)隊(duì)和網(wǎng)絡(luò)安全專家

如果您像我們大多數(shù)人一樣，您的 SOC 團(tuán)隊(duì)正在埋頭篩選警報(bào)、日志和任務(wù)。因此，當(dāng)涉及到不斷變化的攻擊威脅形勢(shì)和端到端安全態(tài)勢(shì)的總體狀態(tài)時(shí)，他們發(fā)現(xiàn)很難找到時(shí)間保持敏銳。

練習(xí)將使您的團(tuán)隊(duì)更好更快地應(yīng)對(duì)攻擊。為它騰出時(shí)間。為戰(zhàn)術(shù)培訓(xùn)分配時(shí)間 ，對(duì)能力進(jìn)行全面評(píng)估，并利用安全編排、自動(dòng)化和響應(yīng)SOAR 等工具構(gòu)建和測(cè)試有效的自動(dòng)化和行動(dòng)手冊(cè) 。積極從事威脅搜尋和事件響應(yīng)工作的網(wǎng)絡(luò)安全專家將擁有為您的團(tuán)隊(duì)構(gòu)建和執(zhí)行培訓(xùn)所需的真實(shí)實(shí)踐經(jīng)驗(yàn)。此外，評(píng)估并利用 支持短期學(xué)習(xí)曲線目標(biāo)和投資優(yōu)化的入職和培訓(xùn)計(jì)劃。

外包

我們?cè)谡麄€(gè)威脅領(lǐng)域所經(jīng)歷的當(dāng)前強(qiáng)度，無論是速度還是復(fù)雜性，都意味著我們都需要更加努力地工作才能保持領(lǐng)先地位。但這只能讓我們走到這一步。因此，我們還必須更聰明地工作，這是構(gòu)建自動(dòng)化、自學(xué)系統(tǒng)并將某些功能外包給專門專家的驅(qū)動(dòng)力。此類增強(qiáng)功能是消除噪音并幫助您的團(tuán)隊(duì)專注于最關(guān)鍵任務(wù)和推動(dòng)業(yè)務(wù)發(fā)展的關(guān)鍵方式。外包可以用于多種目的。它可以臨時(shí)使用，直到您的團(tuán)隊(duì)通過了新技術(shù)的學(xué)習(xí)曲線，或者作為您的安全團(tuán)隊(duì)的擴(kuò)展的永久安排。

我們通常在三個(gè)領(lǐng)域看到組織外包安全功能：

評(píng)估安全有效性

網(wǎng)絡(luò)安全專業(yè)人士有一句格言，即構(gòu)建安全態(tài)勢(shì)的團(tuán)隊(duì)不應(yīng)該是評(píng)估其有效性的團(tuán)隊(duì)。利用外部團(tuán)隊(duì)來執(zhí)行這些任務(wù)總是會(huì)產(chǎn)生更好的結(jié)果。這些服務(wù)的范圍可以從單個(gè)時(shí)間點(diǎn)評(píng)估（如漏洞）或?qū)ν獠抗裘婀芾淼某掷m(xù)監(jiān)控，以確定對(duì)勒索軟件等攻擊的端到端準(zhǔn)備情況。這些評(píng)估還支持對(duì)未來投資進(jìn)行急需的基于風(fēng)險(xiǎn)的優(yōu)先排序。

外包部分或全部 SOC 威脅搜尋功能

主動(dòng)監(jiān)控檢測(cè)和威脅響應(yīng)的外包從端點(diǎn) ( MDR ) 擴(kuò)展到網(wǎng)絡(luò)，再到完整的 SOC 職責(zé) ( SOC-as-a-Service )。考慮到當(dāng)今威脅的速度，最好的預(yù)防方法是采用從檢測(cè)到響應(yīng)的全自動(dòng)循環(huán)。然而，在大多數(shù)情況下，全自動(dòng)響應(yīng)的采用將與 SOC 團(tuán)隊(duì)對(duì)機(jī)器學(xué)習(xí) (ML) 建議和數(shù)據(jù)的信任級(jí)別相關(guān)聯(lián)，而不是與技術(shù)能力相關(guān)，這與所有自動(dòng)化驅(qū)動(dòng)領(lǐng)域一樣，將會(huì)發(fā)展并隨著時(shí)間、數(shù)據(jù)和專業(yè)知識(shí)的發(fā)展而擴(kuò)展。

外包您的部分或全部事件響應(yīng)能力

在您受到主動(dòng)攻擊之前與事件響應(yīng) ( IR ) 團(tuán)隊(duì)合作的好處怎么強(qiáng)調(diào)都不為過。通過盡早參與，IR 團(tuán)隊(duì)可以幫助您改進(jìn)和加強(qiáng)您的安全態(tài)勢(shì)。他們還將獲得有關(guān)您現(xiàn)有安全部署以及任何商定的響應(yīng)和補(bǔ)救流程的關(guān)鍵知識(shí)。這將及時(shí)幫助減少事故并縮短事故發(fā)生后補(bǔ)救所需的時(shí)間。

自動(dòng)化

每個(gè)人都會(huì)對(duì)日益復(fù)雜的工作環(huán)境做出貢獻(xiàn)。營(yíng)銷和工程團(tuán)隊(duì)使用多個(gè)系統(tǒng)。用戶使用大量設(shè)備來連接更多的應(yīng)用程序。今天每個(gè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的目標(biāo)都應(yīng)該是在整個(gè)組織中建立一個(gè)統(tǒng)一的安全框架，該框架優(yōu)先考慮協(xié)同系統(tǒng)和集中流程以提供 ML 驅(qū)動(dòng)的自動(dòng)化。

但 AI 和 ML 的好壞取決于它們接受訓(xùn)練的數(shù)據(jù)和教它們的人。在與提供 ML 支持的解決方案的供應(yīng)商接洽時(shí)，您必須審視組織內(nèi)部并找出誰在設(shè)計(jì)他們的模型。他們正在使用哪些數(shù)據(jù)集？確保用于收集、處理、識(shí)別和響應(yīng)事件的流程和自動(dòng)化是值得信賴的。