无论我们认为我们的网络多么安全,安全事件的风险总是迫在眉睫。当事件发生时,分析人员和事件响应人员需要快速行动 – 立即访问数据,以有效地锁定范围、开展调查并最终控制事件。
在众多的潜在来源中,网络数据仍然是最难收集、维护和发布的。网络、应用和云团队过于分散,以至于原本十分重要的文档记录被置于次要地位,只能勉强发挥作用。当今网络的动态性和混合性越来越强,这意味着任何静态定义的网络和应用数据在几天甚至几小时内就会过时。简单地说,电子表格不再是维护这些信息的可行工具。
一旦检测到事件,就需要在可行的时间范围内充分控制事件,这就会带来额外的挑战。在责任分散的大型企业中,负责事件响应的团队很可能没有所需的访问权限或授权来控制事件。他们必须依靠其他团队来完成工作,而这些团队的优先级可能相互冲突。
让我们来看看Tufin Orchestration Suite如何帮助事件响应团队在面对潜在安全事件时更聪明、更快速地工作。
Tufin SecureTrack:信息充实和上下文
当首次检测到潜在事件时,可能是单一的端点检测,也可能是信息量很小的IDS警报。单个警报可能是每天收到的几十个、几百个甚至数千个警报中的一个。组织必须快速评估每个警报并划分优先级,任何一个被忽略的警报都可能就是首次检测到事件的警报。要成功地大规模处理事件,就需要准确地数据充实,为每个警报提供可操作的上下文。
第一步是确定警报是否真的是事件,如果是,则开始丰富初始警报数据并添加上下文。记住,充实的数据可能会丢失或过时。分析师和事件响应人员必须确保所使用的数据是准确的和最新的。信息收集通常手动完成,需要花费宝贵的数分钟或数小时的分流时间。分析人员和响应人员必须手动查询多个数据源,以收集正确分流一个警报所需的所有网络情报,这使得问题更加复杂。
网络和业务上下文是核心
如果没有适当的上下文,就无法确定您的组织所面临的潜在风险,从而无法确定适当的应对措施。
Tufin SecureTrack利用直接从受管设备收集的网络情报,包括网络对象、安全策略、路由等。SecureTrack会自动查询这些信息,发生变更时,无需网络管理员手动输入。在动态的网络环境中做出变更时,它们会反映在SecureTrack中。
SecureTrack不仅仅是一个数据储存库。根据收集到的信息,SecureTrack会建立一个网络拓扑图,显示所有受管设备的互连情况,以执行拓扑查询和 what-if 方案,显示流量从一个点到下一个点的路线,以及该流量可能被阻塞的位置。
SecureTrack的Unified Security Policy(USP)使企业能够设置用于异构网络环境中多个设备的策略准则。违反USP的行为,如允许通过不安全协议向关键业务网络区域传输流量的规则,将被自动检测,并发出自动警报。
Tufin SecureApp:应用程序可见性
当一个事件发生时,它通常由一个特定的主机或端口来识别,但企业并不是在主机和端口上运行,而是在应用程序上运行。在五台主机上运行十几个应用程序的小环境中,我们可以通过内存将主机转换为应用程序,或者在电子表格上跟踪这些信息。遗憾的是,该方法无法扩展到拥有数百或数千台主机和应用程序的企业环境中。
分析师和事件响应人员在事件响应过程中往往缺乏这种应用上下文,而它对于准确评估影响和潜在风险至关重要。影响托管人力资源应用程序的系统的事件可能比影响托管公共网站的系统的事件带来更大的风险。另一方面,对电子商务公司来说,事件对托管公共网站的系统的影响要比对托管协作工具的系统的影响大得多。无论怎样,应用上下文都至关重要。
Tufin SecureApp为用户提供了一个抽象视图,可显示基于应用连接需求的网络安全策略。用户可以轻松查询一个应用程序,并了解其所有的连接依赖情况。这样做不仅能深入了解受影响系统上托管的应用程序,还可以查看与主机的连接性,提供关于可能的攻击载体和可能从主机产生的关键变更的线索。
Tufin SecureCloud:云端可见性
越来越多的组织采用云托管服务,以提高其敏捷性和可扩展性,这会造成众所周知的“黑洞”,因为安全团队通常缺乏对云环境的充分可见性。即使云安全控制已到位,它们通常也是在安全团队(DevOps或云运营)之外进行管理,并且与其他网络安全控制无关。
由于云是一项相对较新且快速发展的技术,分析人员和事件响应人员可能并不完全了解这种技术,并且需要采用不同的方法来应对事件,加上缺乏可见性,使得情况更加复杂。云服务可能会根据需求自动上调和下调,安全策略的应用也是动态的。当发现事件时,受影响的资源可能已经不存在了。
Tufin SecureCloud为分析人员和事件响应者提供了混合云生态系统和管理该系统的动态策略的全面视图。工作人员可以在整个混合云中查看云安全策略,包括那些可能违反最佳实践或过于宽松的策略。SecureCloud还提供了一个连接图,可以轻松地查看节点、集群和虚拟机等之间的连接情况,这对于在动态环境中确定事件范围至关重要。
Tufin SecureChange:遏制
一旦发现安全事件,首要目标之一就是控制事件。这通常被描述为“止血”,重点是立即采取措施遏制事件,同时进一步调查并部署更持久的措施。通常,遏制措施包括在调查的同时,通过实施新的网络安全策略来封锁某些主机、端口或服务。
应用新的安全策略来遏制事件会带来两个问题。首先,设计和实施这些更改需要时间和对网络拓扑结构的透彻理解,而分析人员和事件响应人员往往无法做到这两点。在企业网络中,阻止一个新的主机、端口或服务并不是创建一个“在网络设备Y上阻止主机X”的工作流那么简单。根据事件发生的位置,“网络设备Y”可能是数百台网络设备中的任何一个,甚至是多台设备。
其次,在事件遏制期间所做的变更往往是在组织常规变更控制流程之外进行的。由于事件的紧迫性,变更可能需要在标准变更控制流程之外进行,但绕过保护措施会无意中将额外的风险引入网络,关键服务无意中被下线,或违反合规性,因为变更没有被正确记录。
协调零风险响应
由于SecureChange可以看到整个网络拓扑,分析师和事件响应者只需提交一个带有源和目标的变更请求,就可以阻止主机、端口或服务。然后SecureChange会自动设计并在适当的网络设备上实施所需的变更,以确保有效遏制。
当通过SecureChange进行变更时,现有的合规准则会被遵循,所有的变更都会被审核,确保不会因为变更而引入额外的风险。为了提高敏捷性,SecureChange用户可以创建一个专门用于事件响应的专用变更工作流程,确保高效响应,同时遵守既定变更控制流程。
通过整合SOAR和网络智能,实现更快、更合规、更准确的响应
Tufin Orchestration Suite为响应者提供准确、最新和可操作的关键网络信息。多供应商支持确保了异构环境中的可见性和控制,成为整个网络的单一数据源。将Tufin纳入事件响应流程,可显著缩短对警报进行分流的时间和事件响应的平均时间(MTTR)。
功能丰富的API允许几乎所有的Tufin功能实现自动化,减少了分析师和事件响应人员花费在手动任务上的时间,使他们能够将宝贵的时间用于需要人工干预的行动上。有了Tufin,您可以将许多事件响应与领先的SOAR和ITSM解决方案相集成,从而将网络洞察和变更自动纳入您的IR操作手册。这些解决方案可在Tufin Marketplace下载。