安全团队常寻求以技术应对安全挑战。但有时候,引入新产品反而会制造更多问题。
面对如何缓解风险的挑战,安全团队通常从技术上找寻解决方案。然而,有时候投资新产品反而会给公司整个安全生态环境制造新的麻烦。
实际操作中,不是所有的工具和技术都能协同工作。很多情况下,公司企业已经坐拥几十上百种不同工具和技术,却往往连弄清自己到底在用哪些技术都做不到,更别提知道这些在用技术的功能了。
安全人才短缺已是不争的事实,公司企业苦于无人可用的窘状并不鲜见。这种时候,用技术来克服人手短缺问题的想法往往显得特别诱人。
于是,公司企业该如何调整期望值,建立清晰有效的安全编排与自动化演进路线呢?
放弃幻想,面对现实
安全编排与自动化的概念本身新颖夺目。但投入更多技术并不能保证足以解决多个孤立工具无法协同工作的问题。
整个公司的基础设施及数据安全需要人手来维护,所以实际技术实现肯定会有失败案例。很多公司投资此类平台的动机都不怎么切合实际。
这些动机来自于企业正在经历的痛点,比如说安全团队承受的来自董事会的灵魂拷问:“你有这个吗?我们是不是很安全?我们很关注 IT 安全,可不想看到整个公司成为下一个曝上头条的悲剧。”
以数据防丢失 (DLP) 为例。约十年前初登场的时候,DLP 为广大首席信息安全官 (CISO) 呈现的前景,是其实现可保护数据,防止被盗。但公司企业很快便被现实好好教育了一番,认识到该解决方案不是装好后放着不管,就能自动达成市场销售人员许诺的功效的。决定成败的细节远比想象中多。
对有很多不同平台、数据源和过程需以不同方式照管的大型复杂基础设施而言,一套多功能解决方案连权宜之计都算不上。
公司企业往往要到购买后 10 到 12 个月,才会开始意识到 DLP 并不完美。每个营销承诺中都包含有各种各样的附加说明。安全自动化这一新领域也不过是在见证这种营销手段的重复。
安全工具能协同工作吗?
多数公司企业最需要的,是能在当今复杂环境中顺利运转各种程序的资深工程师。
苦于人力资源短缺困境之时,很多公司企业都会向技术解决方案要产能。但即便是同一供应商的解决方案,也会有不一样的用户界面和工作流横亘在一套产品中。
既有助于解决人手不足难题,又能确保环境始终统一的解决方案,或许可以考虑下软件即服务 (SaaS) 或托管服务。此类服务的供应商提供服务运行所需的人力和专业知识,客户可与其合作定义自己想要获取的服务。
另一个解决方案是寻找有健壮 API 可供集成的产品。现代安全平台会利用 REST 之类通用 API,可以集成第三方数据以做欺诈分析。
开放架构的集中式云平台可以提升各数字信道的可见性,比如互联网和移动网络。另外,很多公司企业也提供应用或专业服务来打造或支持所需集成。
由于静态程序验证安全不再满足需要,专家建议,安全水平应最好与风险水平对齐。带编排的身份验证技术和方法能够为相关交易风险动态采用合适的身份验证方法。公司企业能由此达成安全、用户体验和监管合规目标。
管理编排期望
最好的安全编排对终端用户完全不可见。以常用的手机银行交易为例。随着时间推移,手机银行交易行为越来越普遍,风险也不算高。
但只要交易参数有变,比如交易额、交易地点、位置设备、越狱/已解锁 root 权限的手机等,风险亦随之上升。对于低风险交易,用户身份验证可以是平滑无缝的,比如指纹扫描;随着风险上升,就需要额外的身份验证步骤了,比如人脸识别、PIN 码输入、行为特征匹配等。
这种验证机制有多重技术在提供后台支持。风险分析技术产生精确的风险评分,移动安全技术评估设备和移动应用风险,基于风险水平的身份验证方法及编排,则为每次交易动态执行精准身份验证工作流。多重技术协同运作,方确保每次交易都应用了恰当的安全水平。
为运用自动化技术达成该安全编排水平,公司企业应先坦诚评估安全生态系统中有效和无效的技术。审查哪些工具给公司客户、合作伙伴和供应商造成了麻烦,哪些技术降低了移动网络等关键信道的可见性。识别低效过程,比如需要人工欺诈审核或增加误报的那些。
而公司企业最应该拥有的,是一套成熟的过程。真实评估编排与自动化可对公司及盈利产生切实帮助的地方,有助于识别真正有效的实际过程。
只要一步一步踏实前进,从一开始就非常现实,不任由供应商向你许诺整个世界,那你的安全编排与自动化之旅就会个积极得多的良好体验。