无论我们认为我们的网络多么安全,安全事件的风险总是迫在眉睫。当事件发生时,分析人员和事件响应人员需要快速行动 – 立即访问数据,以有效地锁定范围、开展调查并最终控制事件。
在众多的潜在来源中,网络数据仍然是最难收集、维护和发布的。网络、应用和云团队过于分散,以至于原本十分重要的文档记录被置于次要地位,只能勉强发挥作用。当今网络的动态性和混合性越来越强,这意味着任何静态定义的网络和应用数据在几天甚至几小时内就会过时。简单地说,电子表格不再是维护这些信息的可行工具。
一旦检测到事件,就需要在可行的时间范围内充分控制事件,这就会带来额外的挑战。在责任分散的大型企业中,负责事件响应的团队很可能没有所需的访问权限或授权来控制事件。他们必须依靠其他团队来完成工作,而这些团队的优先级可能相互冲突。
让我们来看看Tufin Orchestration Suite如何帮助事件响应团队在面对潜在安全事件时更聪明、更快速地工作。
Tufin for Cortex XSOAR:统一的实时网络可见性、策略智能和自动化的操作手册驱动式响应解决方案
Tufin SecureTrack:信息充实和上下文
当首次检测到潜在事件时,可能是单一的端点检测,也可能是信息量很小的IDS警报。单个警报可能是每天收到的几十个、几百个甚至数千个警报中的一个。组织必须快速评估每个警报并划分优先级,任何一个被忽略的警报都可能就是首次检测到事件的警报。要成功地大规模处理事件,就需要准确地数据充实,为每个警报提供可操作的上下文。
第一步是确定警报是否真的是事件,如果是,则开始丰富初始警报数据并添加上下文。记住,充实的数据可能会丢失或过时。分析师和事件响应人员必须确保所使用的数据是准确的和最新的。信息收集通常手动完成,需要花费宝贵的数分钟或数小时的分流时间。分析人员和响应人员必须手动查询多个数据源,以收集正确分流一个警报所需的所有网络情报,这使得问题更加复杂。
网络和业务上下文是核心
如果没有适当的上下文,就无法确定您的组织所面临的潜在风险,从而无法确定适当的应对措施。
Tufin SecureTrack利用直接从受管设备收集的网络情报,包括网络对象、安全策略、路由等。SecureTrack会自动查询这些信息,发生变更时,无需网络管理员手动输入。在动态的网络环境中做出变更时,它们会反映在SecureTrack中。
SecureTrack不仅仅是一个数据储存库。根据收集到的信息,SecureTrack会建立一个网络拓扑图,显示所有受管设备的互连情况,以执行拓扑查询和 what-if 方案,显示流量从一个点到下一个点的路线,以及该流量可能被阻塞的位置。
基于源头/目的地的Tufin SecureTrack网络流量
SecureTrack的Unified Security Policy(USP)使企业能够设置用于异构网络环境中多个设备的策略准则。违反USP的行为,如允许通过不安全协议向关键业务网络区域传输流量的规则,将被自动检测,并发出自动警报。
Tufin SecureTrack策略搜索结果
Tufin SecureApp:应用程序可见性
当一个事件发生时,它通常由一个特定的主机或端口来识别,但企业并不是在主机和端口上运行,而是在应用程序上运行。在五台主机上运行十几个应用程序的小环境中,我们可以通过内存将主机转换为应用程序,或者在电子表格上跟踪这些信息。遗憾的是,该方法无法扩展到拥有数百或数千台主机和应用程序的企业环境中。
分析师和事件响应人员在事件响应过程中往往缺乏这种应用上下文,而它对于准确评估影响和潜在风险至关重要。影响托管人力资源应用程序的系统的事件可能比影响托管公共网站的系统的事件带来更大的风险。另一方面,对电子商务公司来说,事件对托管公共网站的系统的影响要比对托管协作工具的系统的影响大得多。无论怎样,应用上下文都至关重要。
Tufin SecureApp为用户提供了一个抽象视图,可显示基于应用连接需求的网络安全策略。用户可以轻松查询一个应用程序,并了解其所有的连接依赖情况。这样做不仅能深入了解受影响系统上托管的应用程序,还可以查看与主机的连接性,提供关于可能的攻击载体和可能从主机产生的关键变更的线索。
Tufin SecureApp搜索结果
- Home
- Blog
- Cybersecurity
- 如何基于实时网络可见性和策略智能加快事件响应(IR)速度并实现自动化响应
