您应该听说过这样一个事实,即网络基础设施和运营团队以及信息安全团队的协作比以往任何时候都多。在我的研究实践中,我将此称为NetSecOps协作。这种合作变得越来越普遍的原因之一是数据。安全团队需要网络流量数据是有原因的,他们需要网络团队的帮助才能获得这些数据。EnterpriseManagementAssociates(EMA)最近发布了基于对366名IT专业人员的调查的NetSecOps协作研究。其研究发现,安全团队需要分析网络数据,导致83%的企业加强NetSecOps协作。通常网络团队很乐意提供帮助,但数据共享可能很困难。近63%的研究参与者表示,他们为两个团队之间不一致和冲突的数据而苦苦挣扎,近57%的人为团队之间与数据相关的技能差距而苦苦挣扎。一家市值150亿美元的零售公司的网络架构师说:“有时共享数据的过程运作良好,有时则不然,因为安全团队不清楚他们要求的是什么。他们会说,“显示来自网络服务器的数据。”我需要问,“哪个网络服务器,因为我们有很多网络服务器?你想在云端还是数据中心看到网络服务器?”有时,我们很难与他们沟通。”如何与安全团队交谈大约一半共享流量数据的网络团队允许安全团队直接访问网络数据源,大约22%提供基于角色的访问权限,28%提供管理访问权限。这使安全团队能够自己获取数据。尽管如此,如果他们不知道自己在寻找什么以及如何找到它,他们可能仍然需要网络团队的帮助。30%的网络团队已经将他们的系统设置为自动将网络数据转发到安全分析服务。这消除了与此过程相关的通信问题。近19%的组织要求安全团队向网络团队单独请求网络数据。网络数据包代理可以促进这种数据共享。这些设备位于内联或带外,其中他们聚合镜像或生产流量、过滤流量、向数据包添加元数据,并将私有数据包流转发到单独的分析工具。90%参与EMA调查的IT专业人士表示,网络数据包代理对于促进网络和安全团队之间的协作非常重要。网络团队通常会操作它们,但它们可以为安全团队提供基于角色或管理的访问权限,允许安全团队将他们想要的任何流量转发到他们的工具。数据包捕获硬件是合作中的另一个重要环节。网络和安全团队通常维护自己的数据包捕获资源。例如,安全分析工具可能有自己的集成数据包捕获资源。网络团队可能会维护一个大型数据包捕获阵列,从更大的网络接口集收集数据,以便拥有更丰富的数据集进行分析。所以即使有了自己的抓包资源,安全团队在某些情况下还是需要网络团队的帮助。为此,很多企业都在考虑整合抓包资源。EMA研究发现,97%的受访者对至少部分集成网络和安全团队之间的数据包捕获资源感兴趣。安全团队如何使用流量数据EMA要求受访者确定安全团队如何处理他们从网络中提取的流量数据。超过69%的企业将流量提供给网络检测和响应或网络流量分析工具,这是一种新型安全监控服务,可对流量进行深入分析以识别异常和威胁。近58%的安全团队需要流量数据来帮助他们完成事件响应过程。他们检测到一个安全问题,他们需要从流量数据中得到答案。超过55%的企业正在执行实时数据包负载分析。例如,他们正在寻找数据包中的恶意软件,或者他们正在寻找从网络中泄露的敏感数据。如果您的组织正在尝试改进NetSecOps协作,那么数据是一个很好的起点。寻找在团队之间更轻松地共享高质量数据的方法,尤其是可以弥合两个团队之间技能差距的方法。
