提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创

    申请试用
      构建以数据安全为中心的安全运营中心
      发布时间:2024-06-03 阅读次数: 633 次

      在日益复杂的现代网络安全领域,SOC(security operations center,安全运营中心)和数据安全团队时常处于各自的信息孤岛之中,使用不同的门户进行工作,双方之间的合作有限。尽管这种分隔意在简化运营,但可能会导致严重的盲点,使得组织陷入对威胁和数据事件的被动应对局面。数据安全团队专注于保护敏感数据,而安全团队则优先考虑威胁的检测和响应。它们之间的协同作用需求经常被组织所忽视。因此,在增强威胁检测与响应能力的过程中,关键的决策和其所需的背景信息之间存在着脱节。

      这种碎片化的工具环境造成了一种虚假的安全感,因为使用16及以上个工具的组织与使用较少且更集成解决方案的组织相比,所经历的数据安全事件数量要高出2.8倍。于是,在数据和安全运营之间手动进行关联变得必不可少,这也导致了在识别和解决潜在安全漏洞方面的低效率和高延迟。

      只有弥合数据安全和安全运营中心之间的鸿沟,组织才能更加有效地抵御不断演变的网络威胁。同时这也有助于确保组织在现代安全方面采取一种全面的解决方案,将有关敏感数据及其使用方式的见解融入到SOC经验中去。

      01、数据是攻击者的主要目标

      由于蕴含着巨大的价值,数据已然成为攻击者的首要目标,数据安全在保护敏感信息免受网络威胁方面起着关键作用。无论是个人可识别信息(PII)、财务记录还是知识产权,未经授权的数据访问都可能会带来灾难性的后果。据统计,受严重安全事件影响的组织每年应对安全事件的成本高达1500万美元。

      数据泄露会给受影响的组织带来财务损失、声誉受损、法律后果以及客户信任丧失等后果。因此,对于组织来说,重要的是实施健全的数据安全治理、风险管理以及合规标准,以降低数据泄露带来的风险,从而保护其最有价值的资产。

      02、了解攻击者的策略

      随着,攻击频率和复杂性的不断攀升,SOC也在持续应对着不断演变的网络威胁。在大多数事件中,攻击者通常都以数据为目标。在过去的一年里,大约63%的公司数据泄露是由有意或恶意的内部人员造成的。攻击者使用的主要策略包括对存储敏感数据的设备进行加密,以获取赎金;窃取认证密钥以访问数据库;冒充员工;以及通过电子邮件外泄财务数据等。攻击者入侵成功后,他们便聚焦于像地址、出生日期和社会安全号码等敏感数据,意图通过在暗网上出售这些数据来获利。遭受攻击的组织所面临的危机往往是客户信任的丧失,恢复成本的增加,而受影响的个人则面临着身份盗窃的风险。

      这就是为什么说SOC团队需要使用数据安全工具,来获取内部风险感知、数据敏感性分析以及数据安全预警等背景信息。这种额外的背景信息可以帮助安全团队及早发现潜在的数据威胁,在其演变成重大事件之前,更好地按照优先级来处理事件,调整警报级别,并有效地分配资源。因此,数据安全必须贯穿于SOC流程的各个方面。

      在一些安全事件中,攻击者成功获取了用户的登录凭证,并将数据从受内部系统中外传,但该情况却往往会被误判为正常操作。例如将一个不涉及敏感信息的压缩文件复制到个人云存储账户中,这种行为只能引发较低严重等级的警报。但如果SOC结合着内部风险洞察信息来对安全事件进行分析时,就可以在预警发出之前察觉到那些可疑行为,并对其严重性程度有一个准确的评判。这些可疑行为包括将文件的敏感性标签降级以掩盖其实际内容,以及将文件压缩成zip格式,然后上传到个人云存储中等,并且这些都超出了SOC在受监管设备上的监视范围。

      03、构建以数据为中心的SOC实践

      将数据中心化贯穿于整个安全工作有助于SOC更加有效、快速地识别并应对数据泄露事件,从而降低组织所面临的安全风险。以下是每个步骤中需要考虑的因素:

      调查: 确保将数据丢失预防(DLP)和其他以数据为中心、与内部风险相关的警报纳入到组织的威胁事件中。

      搜寻: 建立积极主动的搜寻实践,利用审计日志来跨文件、位置以及用户来进行搜寻,以便更好地发现潜在威胁。

      定制化: 根据文件的数据敏感程度,来制定安全事件列表,并对事件进行优先级排序。

      随着安全实践的不断增强,安全团队需要一个强大的SOC,来提供超越终端和身份的数据源可见性,以及一个可以通过DLP工具、内部风险信息、电子邮件安全等方式来提升安全事件上下文洞察力的全面策略。通过将数据安全无缝整合到SOC框架中,组织可以建立一个促进各部门协同的平台,使其能够在数据泄露事件中迅速做出处理并适应。

      点评

      与依赖安全日志和网络流量来检测安全事件的传统SOC不同,以数据安全为中心的SOC主要关注的是数据本身的流动以及利用情况,需要通过监控数据访问、检测异常行为和分析数据活动来识别潜在的数据安全风险。

      如今,涉及数据泄露的场景繁多且复杂,单纯依靠传统的被动式防御措施已无法抵御精密谋划的攻击手段,任何基于单点防御的体系都存在被绕过或欺骗的风险。因此,组织需要采取更加综合和多层次的安全策略,来应对复杂的数据泄露威胁,以提高整体的安全性。

      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部