安全堆栈中有数百家安全供应商。你有云,电子邮件,网络和终端安全的提供商,以及威胁,恶意软件和DDoS保护,钓鱼和捕鲸保护,内部威胁检测等等。
麻烦是,大量这些解决方案彼此不合适,这常常使安全团队采用这些技术的难度。与此同时,这些相同的团队预计将跟上不断变化的景观和犯罪分子,这些景观和犯罪分子的创新比大多数财富500强公司更快。
Magnum Consulting分析师Frank J.Ohlhorst完全捕获了这一协作问题意见片断去年。
“IT安全已经成为现代IT环境中最复杂的元素之一,需要多层保护,以及先进的分析来阻止攻击,阻止入侵者和保护数据。尽管如此,当前的安全层有时会失败,这通常是由于单一供应商创建这些安全层的方法。
“自然而然,供应商并非全部责备,除了这些安全供应商之间缺乏合作和技术转让有效创建保护孤岛,无论安装的层数如何。
“简单地说,今天的威胁大于任何一个供应商,这意味着安全技术的隔离必须成为过去的事情。”
合作是理想主义的,但需要
然而,安全专业人士认为,供应商在很大程度上朝着正确的方向前进,主要是因为它是“正确的事情”。
“理想主义地,我的回答是[协作]是你应该做的是让系统尽可能安全地制作,”穿透测试服装第一基础技术首席执行官的Pete Wood说。
“[合作]润滑了大量供应商产品的建筑系统的颠簸道路,”他说。
“与几年前相比,供应商之间有更多的合作,”Alienvault Security Advocate Javvad Malik告诉了社会网络.
“在技术水平,这是在许多供应商已经打开了与API的平台以允许转移数据的地方。在研究方面,许多供应商已经合作调查,识别,甚至扰乱威胁演员。
去年运营封锁泡沫是一个很好的例子,它看到了Novetta集团领导着涉及Alienvault和卡巴斯基的全球研究和分析团队的联盟。运营批发股票是多个安全供应商之间的联盟,以扰乱多年来一直活跃的众多网络 - 间谍活动,针对金融公司,媒体房屋和制造公司
Magnum咨询公司分析师Frank J. Ohlhorst
James Chappell,CTO和威胁情报公司数字阴影的联合创始人认为,合作在技能,标准和威胁情报等领域一直在不断发展。
他说:“信息安全领域的供应商意识到,很少有技术可以被视为‘一种扑热息痛解决所有问题’——没有哪个供应商是一个孤岛。CSO.
“安全是一个非常广泛的话题,需要对一系列能力进行投资,而不是单一的能力。这意味着产品领域的生态系统是相互关联的。例如,我们与内部安全监控和事故分类系统密切合作,这样我们创建的警报和我们提供的服务就可以增强和加强事故响应过程。”
英特尔安全和Europol顾问的首席技术官raj Samani可能不太说服供应商之间的合作水平,尽管他令人振奋的是租赁者和安全机构之间存在的近期,但在降低刑事基础设施方面存在。
“有前所未有的合作水平,”萨米尼说,指着美国执法工作组和欧洲的欧洲网络犯罪中心(EC3),该公司与私营部门公司合作,再次启动刑事群体。
“它肯定在那方面移动,我们看到垂直对齐,产品互操作性,更好地合作[之间]公共和私营部门。”
很多领域合作,但互操作性是一个遥远的梦想
在许多方面,在分析师期望的安全市场中将预期供应商孤岛到2020年增长到1700亿美元.
技术提供商自然地期待他们的产品围绕其独特的功能区分,而不断变化的安全景观意味着解决方案,标准甚至协议可能会出现并几乎过夜。
尽管需要专业化,但业界明确认识到,传统安全产品需要更好的互操作性来改善终端用户保护。现在人们意识到,传统的安全产品,如防火墙和IDS系统,无法单独阻止日益复杂的攻击。
领先的供应商正在寻求协作,通过API集成、SaaS和基于云的商业模式来提高互操作性。特别是API集成,允许在不同产品之间交换威胁、漏洞或安全事件数据信息。
大数据分析软件提供商Panaseer的首席执行官尼克•惠特菲尔德(Nik Whitfield)表示,他的公司整合了Qualys和赛门铁克(Symantec)的数据。“从历史上看,安全供应商很少支持客户将安全系统之间的点连接起来。
“事实上,有些人认为这是对他们的业务的威胁。然而,供应商生态系统正变得更加综合,因为企业意识到在隔离中查看安全工具毫无意义,并且只有在所有防御中的一个加入的画面都会给他们他们所需要的上下文的图片。
英特尔安全的Samani同意,但承认这不是供应商社区中每个人的观点。
“靠大,他们没有,”他说,问解决方案是否始终互相交谈。“这一直是大多数组织,互操作性的错误。”
“我接到了很多不同供应商的电话,他们都不想合作……但这取决于他们,”他说。“但市场、整个行业并没有朝这个方向发展。”
与此同时,Wood对缺乏互操作性表示惋惜,认为这是他工作的一个关键问题,并指责“孤立”的供应商不理解其他安全技术。他说,缺乏对解决方案网格如何经常导致“接缝裂缝”的理解。
“大多数安全供应商都没有完全圆满的安全观。其中许多人不明白所涉及的并行技术。“
他说说很多供应商都只是“进一步进一步自己的议程“,将勉强要求的产品推向Cisos,而不是足够帮助最终用户建立一个伦理黑客安全的测试环境。
Wood说:“我的建议是着眼于大局,着眼于客户实现(解决方案)的用例。”“不要孤立地考虑你的解决方案。在供应商的帮助下,找出系统共同构建过程中存在的缺陷。”
他补充说:“要勇敢,投资一个合适的实验室规模的测试环境,让安全人员在现场环境之外打破系统。”
然而Malik认为合作在技术上是困难的:“从纯技术合作的角度来看,存在一些挑战。这主要归结为企业连接或定制后端以提供有意义的报告或指标所花费的时间和精力。
“这是可以统一不同基础架构的安全性能的供应商(在前提上)的供应商具有优势,因为所有集成都在后端完成。”
然而,与培养等合作的其他障碍。
“集中注意力,多疑,”惠特菲尔德说。“供应商过于关注自己的产品,有时会忘记客户和他们的需求。”
威胁情报和数据共享引领了这一潮流
在安全研究的同时,威胁情报也许是行业协作中最先进的领域。此前的例子包括网络威胁联盟、全球网络联盟和威胁防范联盟等。
查佩尔认为,在改善政府和行业之间的威胁情报共享方面已经取得了巨大进展,比如情报共享和分析中心(ISACS)在美国和英国网络安全信息共享伙伴关系(CISP)。他和萨曼尼也指向没有更多的赎金项目作为行业的良好示例,执法和政府组织共同努力抵消勒索制造器威胁。
“这是前所未有的,”萨米尼说。“在过去的合作中,围绕圆桌会议讨论组,或某些恶意软件的某些操作,现在您有永久的在线存在。”
马利克表示,威胁情报分享几乎已成为常态。
“威胁分享是历史供应商从事的大道。我们看到许多企业也加入积极分享威胁数据,因此,OTX这样的开放威胁共享平台在帮助增加协作方面非常受到普及。”
Chappell认为,标准有助于威胁情报合作,主要感谢Mitre.com和Oasis所做的工作,以及通过Stix和Taxxi等举措的指标信息的标准化。他也相信了缺乏安全技能差距正在通过工业接受isc2,sans,Crest,Isaca和Issp等机构接受。
这个故事,“朋友或敌人?安全供应商Tiptoe对协作”最初发表CSO .