为什么现有的解决方案能让安全领导者实现价值最大化

为什么现有的解决方案能让安全领导者实现价值最大化

传统杀毒软件并没有消亡。

我们所依赖的许多传统工具也是如此。挑战往往在于理解控件的细微差别,以使它们与我们的环境相匹配。这一挑战往往令人望而生畏。

这并不意味着一定要抛弃他们,转而采用新的方法。

这是我最近与Minerva实验室联合创始人兼首席执行官Eddy Bobritsky(LinkedIn,@eddyb0b)交谈的主题。Eddy是一位网络和信息安全领域专家,在国防和金融领域的网络安全方面拥有丰富的经验。他的经验法则是“保持简单”,以帮助企业无缝运营,这就是他创办Minerva Labs的原因。

我真的很喜欢作为《初创企业安全周刊》(Startup Security Weekly,第24集-YouTube)的嘉宾与埃迪进行的讨论,并一直保持在这里。我们更深入地探讨了“拆开并替换”的成本,并认识到,环境中的工具使用时间越长,使用效果就越好。如果只是因为你更了解设置,控制,以及如何让它为你工作。

Eddy还指出,成熟的供应商有足够的资源来整合任何新的东西——如果它被证明有价值的话。在此基础上,我们讨论了安全领导人如何从当前解决方案中获得更多价值的许多问题。

在检测已知攻击时,传统防病毒(AV) 产品提供最佳的投资价值。新的下一代解决方案所提供的技术实际上对那些保持传统安全更新的企业几乎没有任何附加价值。他们声称行为检测和机器学习是比签名更先进的技术,然而,为了检测特定的行为,或者根据算法发现异常,攻击必须运行才能被捕获。就像使用签名一样,解决方案只有在成功的攻击之后才有效。攻击不会被阻止,而是在它开始造成伤害后停止。

但这不是唯一的事。与新玩家不同的是,传统的AV公司拥有从全球数亿个端点收集的大型数据库和情报,从而增强了所有客户的安全性。他们不断改进他们的解决方案,现在将机器学习和行为检测技术融入到他们现有的解决方案中。最重要的是,替换端点安全解决方案的成本非常高。保留您的现有解决方案(它会一直变得更好)可以降低维护公司安全的成本。

熟悉解决方案比你想象的更有价值。熟悉解决方案可以确保您从中获得最大的收益。你的员工已经习惯了它,他们知道如何最好地操作它,快速高效地完成任务。这也适用于熟悉的解决方案中引入的新功能,因为您知道如何在熟悉的环境中处理问题。

新的工具意味着新的支出,这不仅仅是产品本身的支出。一个新的解决方案会带来额外的培训成本、学习曲线、适应时间,甚至意味着要招聘新员工。

替换端点安全解决方案是一个漫长、令人沮丧和昂贵的过程。您需要考虑更换流程本身、对新技术的适应以及员工培训和招聘流程。

需要仔细考虑的问题自然是,你的钱值吗?

更换过程需要一个重大的组织努力,无论是从财务角度还是从业务角度。如果在一天结束的时候(或者更可能是一年),你将看到你的检测率只是略有上升,这可能是不值得的投资。

在做任何事情之前,先测试一下。把新的解决方案放在实验室里进行彻底的概念验证。将新解决方案的结果与现有解决方案的结果进行比较,看看它是否真的对组织的安全性有很大影响。然后仔细考虑我们之前讨论过的所有其他运营和财务方面。

添加另一个检测层(下一代解决方案所提供的)与添加不依赖于类似方法的不同层(在攻击-杀死链的早期阶段处于活动状态)之间也有区别。EDR和AV端点解决方案并不能真正防止攻击。他们在攻击开始后检测恶意软件。增加一个真正的防范层,一个在网络杀戮链的安装阶段识别攻击的层,是公司应该寻找的地方。

组织需要评估三个主要方面:

找出端点安全策略中的漏洞—当前部署了哪些端点安全措施,从覆盖率的角度来看缺少了哪些措施?

什么样的替代或附加解决方案能够真正提高组织的安全性?

所涉及的财务成本和运营成本是多少,投资回报率是多少?

在整个过程中使用数字和比较。

当你考虑你拥有什么以及为什么它不够的时候,记住要考虑你的SOC团队和他们处理的警报数量,以及其他成本。然后想想那些采用自动化各个方面的产品会对这些数字产生什么影响。

在评估替代解决方案时,在实验室环境中进行实际比较,验证替换解决方案在结果、维护和成本方面的真正价值。

最后,计算一下,真正了解什么样的解决方案能够以最小的操作工作量和良好的投资回报率显著提高组织的安全性。