最后更新于2024年9月24日星期二19:33:37 GMT
对于大多数安全专业人士来说,跟上威胁行为者的发展已经变得越来越困难,这应该不足为奇. 保持对威胁形势和外部风险向量的可见性不仅仅是合并更多点解决方案的问题. 它需要一个协调一致的基于风险的方法,你选择的工具只是三脚架的一条腿.
在今年夏天早些时候发布的一份报告中, Gartner的分析师提出了三点建议,以促进基于风险的威胁检测环境, 调查, 响应不仅包括安全团队,还包括更深入地了解组织的风险概况. 以下是我们从Gartner®得出的三个主要结论 将基于风险的方法应用于威胁检测、调查和响应的3种方法.
收获1:更好的一致性和更清晰的目标
打破团队之间的竖井是一个历史悠久的命题,现在比以往任何时候都更加重要. Gartner建议从整个组织中创建一个法定人数的业务领导,以了解你的安全状态和未来的需求. 优先考虑安全指标的准确和定期报告,以建立信任并创建有效透明的一致氛围. 这个小组应该是多样化的,有来自核心部门的决策者和专家. 根据Gartner的说法,目标应该是:
“让业务成为对话的一部分,从而成为能力的拥护者, 将安全计划提升为业务功能而不是I&O支撑.”
要点2:综合风险环境
为事件响应者提供尽可能多的信息(以及正确的信息),以便他们快速有效地响应威胁,这需要一个复杂的风险信息分层,其中包括对业务关键资产的优先级. Gartner建议将网络风险信息元素直接应用到IR项目中, 在基于资产和业务风险的信息中分层,为响应人员提供所需的上下文,以便对通常可能是大量的数据进行适当的分类.
Gartner说:
“事件响应人员应该掌握尽可能多的信息,以有效地在大海捞针.”
收获3:完全丰富的业务上下文
对于安全团队来说,过多的信息和过少的信息往往同样有害. SecOps需要以最有效的方式访问正确的信息,以便在噪声中找到信号. Gartner建议通过丰富的商业背景信息来减少调查延误(参见, 它们都是相连的). 这种透明度可以部分通过SIEM实现, CAASM, 威胁情报工具和强大的漏洞管理程序, 但值得注意的是,Gartner将提供正确的信息放在首位, not the most information; hence, 使用正确的工具.
所有这三项建议结合起来形成了一种基于风险的检测方法, 调查, Gartner的回答是:"...组织可以期望在威胁检测方面创造可衡量的效率收益,并提高他们及时响应威胁的能力.”
Gartner® 将基于风险的方法应用于威胁检测、调查和响应的方法 报告更详细地介绍了实施基于风险的方法的最佳方法&R.
下载报告 在这里.
应用基于风险的方法进行威胁检测、调查和
回应,乔纳森·努涅斯,皮特·肖尔德,2024年7月10日.
GARTNER是GARTNER, Inc .的注册商标和服务标志. 和/或其在
U.S. 在国际上使用,并得到许可. 版权所有.