安全團隊對流量數據的需求推動NetSecOps協作

你應該聽說過這個事實,現在網絡基礎設施和運營團隊以及信息安全團隊的合作比以往任何時候都多。在我的研究實踐中,我開始將此稱為NetSecOps協作。 這種合作變得越來越普遍的原因之一是數據。安全團隊出於某種原因需要網絡流量數據,並且需要網絡團隊的幫助來獲取這些數據。 Enterprise Management Associates (EMA) 最近根據對366名IT專業人員的調查發布了關於NetSecOps協作的研究報告。其研究發現,安全團隊需要分析網絡數據,這導致83%的企業增加了NetSecOps協作。

通常,網絡團隊樂於提供幫助,但數據共享可能很困難。近63%的研究參與者表示,他們為兩個團隊之間不一致和相互衝突的數據而苦惱,近57%的人為與數據相關的跨團隊技能差距而苦惱。 一家價值150億美元的零售公司的網絡架構師說:“共享數據的過程有時效果很好,有時效果不佳,因為安全團隊對他們的要求沒有明確的想法。他們會說,‘請向我展示來自網絡服務器的數據。’我需要問,‘哪個網絡服務器,因為我們有很多網絡服務器?你想在雲端還是數據中心看到網絡服務器?’有時,我們很難與他們溝通。

如何與安全團隊共享流量數據

大約一半的網絡團隊允許安全團隊直接訪問網絡數據源,大約22%提供基於角色的訪問,28%提供管理訪問。這使安全團隊能夠自行獲取數據。不過,如果他們不知道他們在尋找什麼以及如何找到它,他們可能仍然需要網絡團隊的幫助。 30%的網絡團隊設置了他們的系統,以便將網絡數據自動轉發到安全分析服務。這消除了與這個過程相關的通信問題。近19%的企業要求安全團隊向網絡團隊提出單獨的網絡數據請求。 網絡數據包代理可以促進這種數據共享。這些設備位於內聯或帶外,其中它們會聚合鏡像或生產流量,過濾流量、向數據包添加元數據並將專用數據包流轉發到單獨的分析工具。 在參與EMA調查的IT專業人員中,90%的受訪者表示,網絡數據包代理對於促進網絡和安全團隊之間的協作很重要。網絡團隊通常會操作它們,但他們可以為安全團隊提供基於角色或管理的訪問權限,從而使安全人員能夠將他們想要的任何流量轉發到他們的工具。 數據包捕獲硬件是協作的另一個重要紐帶。網絡和安全團隊通常維護自己的數據包捕獲資源。例如,安全分析工具可能有自己的集成數據包捕獲資源。網絡團隊可能會維護一個大型數據包捕獲陣列,從更大的網絡接口集收集數據,以便擁有更豐富的數據集進行分析。 因此,即使有自己的抓包資源,安全團隊在某些情況下仍然需要網絡團隊的幫助。出於這個原因,很多企業正在考慮整合數據包捕獲資源。 EMA研究發現,97%的受訪者對至少部分整合網絡和安全團隊之間的數據包捕獲資源感興趣。

安全團隊如何使用流量數據

EMA要求受訪者確定安全團隊正在如何處理他們從網絡中提取的流量數據。超過69%的企業將流量提供給網絡檢測和響應或網絡流量分析工具,這是一種新型安全監控服務,可對流量進行深度分析,以識別異常和威脅。 近58%的安全團隊需要流量數據來幫助他們完成事件響應流程。他們檢測到安全問題,他們需要從流量數據中得到答案。而超過55%的企業在進行實時數據包負載分析。例如,他們正在尋找數據包中的惡意軟件,或者他們正在尋找從網絡中洩露的敏感數據。 如果你的企業正在嘗試改進NetSecOps協作,那麼數據是很好的起點。尋找更容易在團隊之間共享高質量數據的方法,尤其是可以彌合兩個團隊之間技能差距的方式。