随着IT基础设施变得越来越分散和复杂,网络安全管理员越来越难以保护用户、数据、应用程序、系统和网络免受攻击。同时,虚拟化、容器化和架构叠加层使安全团队难以正确查看其网络、识别威胁并在合理的时间内进行补救。结合了AI和机器学习功能的高级安全工具吹嘘它们能够跨第一方和第三方基础设施以及各种软件定义的网络层提供安全清晰度。与此同时,关于安全可观察性、可见性和监控的作用开始出现混淆。有些人认为这三个术语可以互换,但它们之间存在明显差异,会影响这些安全工具和流程的交互方式。监控警报安全团队安全监控工具已经存在了几十年。大型监控工具集的工具或功能通常由IT安全管理员配置,以捕获各种设备或软件日志、简单网络管理协议轮询和陷阱、事件消息、NetFlow、数据包捕获和其他流式遥测数据。通常会设置触发器,以便在安全监控工具处理事件时,在满足特定条件或达到特定阈值时发送警报。IT安全人员将处理警报以确定它是否是有效的安全威胁,确定安全事件的根本原因并补救威胁。安全监控可以部署在主机、系统、应用程序或网络级别。然而,传统的安全监控工具需要管理员花费大量时间通过手动流程跟踪和解决事件。随着基础设施变得更加复杂并且收集到更多的监控数据,这个问题变得更加困难。此外,安全事件通常会从多个安全监控工具中生成警报。这些重复的警报会导致安全监控疲劳。可观察性提供情报和治疗安全可观察性有助于解决监控疲劳。可观察性平台为更广泛的监控添加智能,以确定警报的真正根本原因并帮助管理员正确修复它。人工智能、机器学习和自动化等先进技术可以帮助集中、关联和理解各种安全监控工具生成的所有警报。让我们仔细看看可观察性的安全功能:验证预期的应用程序性能。可以设置性能阈值,并在应用程序性能低于最低水平时通知管理员。设置行为基准并在行为偏离正常观察时发出警报。可观察性工具为正常的基础设施和流量行为设置基准,并在行为偏离正常阈值时发出警报。人工智能驱动的事件和根本原因分析。AI可以识别发生事件的特定硬件和软件位置,并提供见解以帮助最好地解决问题。预测分析。可观察性工具不是对可能导致应用程序中断或性能问题的基础设施事件做出反应,而是识别在任何重大事件和中断发生之前应该解决的基础设施区域。网络检测和响应。NDR工具有助于全面了解从安全事件识别到事件解决的整个数据安全生命周期。剥离网络层的可见性重要的是不要单纯从技术角度考虑安全可见性,而要从IT安全团队的角度考虑。可见性是关于现有监控工具集和可观察性架构可以以安全管理员可以轻松理解的格式提供的范围和深度。由于网络是高度分布式的,因此安全可见性必须能够看到企业网络的所有角落,包括企业LAN、WLAN和本地数据中心,以及WAN和私有云和公共云上的远程站点。例如,在大流行的早期阶段,当员工被迫离开办公室并在家工作时,缺乏网络安全可见性可能很常见。当时的安全团队急于加强他们的安全监控和可观察性工具,以提高可见性,包括跨Internet以及远程位置(用户访问公司应用程序和数据的地方)。安全可见性平面使IT能够剥离每一层软件,直到它到达基础设施的基础。监控工具从虚拟化服务器、容器和网络覆盖中提取健康和安全信息。还有对物理硬件和主机操作系统(虚拟化软件平台的基础)的额外监控。不同但相同为了突出可观察性与可见性和监控工具的作用,两个IT安全管理员之间关于如何更快地解决触发安全事件的典型对话可能从细粒度级别开始,然后扩展到更细粒度的级别。高水平。在这种情况下,首先需要部署和配置特定工具来监控基础设施的各个部分。然后,它将解决这些工具产生重叠和冗余警报的问题,以及将警报发送到集中式工具以进行智能分析并可能关联到单个安全事件的方式。输入安全可观察性。监控和可观察性工具可以部署在LAN和数据中心上,但是公有云呢?这就是安全可见性发挥作用的地方。可观察性和可见性以及监控工具服务于不同的目的,但在整个企业安全架构中发挥着互补的作用。
