7 основных проблем интеграции инструментов безопасности

Предприятия часто развертывают новые инструменты, а также службы безопасности для удовлетворения потребностей и борьбы с угрозами. Ключевой вопрос заключается в том, как интегрировать эти различные предложения - во многих случаях предоставляемые разными поставщиками - в существующую инфраструктуру для поддержки согласованной стратегии безопасности, пишет CSO.

Переход в облако несколько упростил интеграцию системы безопасности, но этот процесс по-прежнему может стать серьезным препятствием для организаций, пытающихся создать надежную защиту от новейших угроз. Вот некоторые из проблем, с которыми они могут столкнуться, и способы их эффективного решения.

1. Слишком много инструментов безопасности

Распространенная проблема интеграции в сфере безопасности связана с тем, что делают многие организации: развертыванием слишком большого количества продуктов и услуг безопасности.

«Огромный объем разрозненных инструментов безопасности и отсутствие встроенной совместимости между ними - одна из самых больших проблем, с которыми сегодня сталкиваются операции по обеспечению кибербезопасности, - говорит Крис Минан, вице-президент по управлению продуктами в IBM Security. - Каждое новое средство безопасности должно быть интегрировано с десятками других, что приводит к увеличению числа пользовательских интеграций, которыми необходимо управлять между каждым из них, - рост в масштабе, который стал невозможным».

Сегодня на рынке представлены тысячи инструментов кибербезопасности, «с мешаниной различных функций и возможностей», - говорит Келли Бисселл, глобальный управляющий директор Accenture Security. «Любой руководитель службы безопасности, независимо от уровня его опыта, может легко запутаться, пытаясь сделать «правильный» выбор безопасности для компании», - отметил представитель Accenture Security.

По словам Бисселла, в результате часто получается корпоративная инфраструктура безопасности, состоящая из 50 или даже 100 различных инструментов. «Когда вводятся новые инструменты, но они не могут взаимодействовать с другими платформами или инструментами безопасности, становится еще труднее получить полезное представление об истинном ландшафте угроз», - говорит он.

Организациям «необходимо провести генеральную уборку и рационализировать или укрепить свои инструменты кибербезопасности», говорит Бисселл. «Они также должны выбрать нескольких основных поставщиков и сократить количество других, чтобы максимизировать ценность своих отношений с основными поставщиками. Это сэкономит затраты на лицензирование и интеграцию, а также упростит их работу».

2. Отсутствие взаимодействия между инструментами безопасности

По словам Минана, многие инструменты безопасности, доступные сегодня, используют проприетарные интерфейсы и языки обмена данными. Хотя сейчас многие предлагают открытые интерфейсы прикладного программирования (API), «эти API не обязательно построены на одних и тех же стандартах, поэтому для интеграции продукта A с продуктом B по-прежнему требуется специальный пользовательский код», - говорит он. - Кроме того, язык обмена данными не стандартизирован».

По словам Минана, несколько сообществ по безопасности прилагают усилия для решения проблемы функциональной совместимости, сосредоточившись на разработке более общих моделей данных, открытых стандартов и инструментов с открытым исходным кодом, которые могут использоваться разными поставщиками и наборами инструментов. «Опираясь на общие API-интерфейсы и общие модели данных, специалисты по безопасности смогут легче заменять один инструмент другим, что в конечном итоге упростит добавление новых инструментов и уменьшит привязку к поставщику», - отметил он.

По словам Минана, хорошим примером того, где этот тип работы сообщества укореняется, является Open Cybersecurity Alliance (OCA). Это межотраслевая группа поставщиков, потребителей и некоммерческих организаций с открытым управлением, которая занимается использованием открытого исходного кода и открытых стандартов для повышения совместимости кибербезопасности.

«Такие организации, как Open Cybersecurity Alliance, объединяют игроков из более широкого сообщества безопасности, чтобы помочь определить эти стандарты открытым и прозрачным образом, с разработкой, обзором и отзывами сообщества, - говорит Минан. - Компании могут уже сегодня начать искать программное обеспечение, основанное на инструментах и ​​стандартах с открытым исходным кодом, чтобы уменьшить нагрузку на интеграцию безопасности - как сейчас, так и в будущем».

3. Сломанный функционал

Часто инструменты безопасности требуют определенного доступа к системам или сетевому трафику для работы, и добавление новых инструментов может привести к тому, что существующие инструменты перестанут работать, считает Эрик Коул, основатель и генеральный директор Secure Anchor Consulting и эксперт по кибербезопасности.

«Это основано на том предположении, что при установке новых инструментов они часто вносят изменения, такие как удаление или загрузка файлов, драйверов и разделов реестра, и эти конфигурации часто используются ранее установленными инструментами, - говорит Коул. - Эта проблема в основном распространена с инструментами безопасности конечных точек или инструментами, которые необходимо устанавливать непосредственно в системе».

По словам Коула, с сетевыми устройствами или устройствами это не проблема. По его словам, решение заключается в использовании инструментов на основе хоста или сервера, которые должны быть установлены локально. Организации должны придерживаться набора или инструмента одного поставщика, чтобы свести к минимуму загрязнение от разных поставщиков.

4. Ограниченная видимость сети

По словам Коула, новые инструменты безопасности ориентированы на построение поведенческих моделей для лучшего понимания сетевого трафика и поведения, а также на использование этой информации для обнаружения аномальной активности.

«Чтобы эти модели были эффективными, они должны исследовать и анализировать весь сетевой трафик», - говорит Коул. - Если инструменты видят только подмножество, модели не будут точными и эффективными. Это в основном проблема с сетевыми устройствами и устройствами, но если новое сетевое устройство устанавливается перед существующей технологией, оно может блокировать трафик и ограничивать видимость существующих систем». Эксперт отметил, что если новое устройство будет установлено позади существующих устройств, оно будет иметь доступ только к ограниченному количеству информации, а поэтому не будет эффективным.

Как считает Коул, решение состоит в том, чтобы внедрить сетевые инструменты для каждой виртуальной локальной сети или сегмента сети, чтобы один инструмент имел полную видимость той части сети, которую он защищает.

5. Увеличение ложных срабатываний

По словам Коула, новые инструменты безопасности также, как правило, больше сосредоточены на заявлении о том, что они могут обнаруживать атаки, а не на предоставлении точной и надежной информации.

«Поэтому, чем больше инструментов вы устанавливаете, тем больше предупреждений и увеличивается общее количество ложных срабатываний, - говорит Коул. - Решение состоит в том, чтобы использовать [систему] управления инцидентами и событиями безопасности и сопоставлять данные из нескольких источников, а также оповещать только о тех действиях, которые постоянно оповещаются несколькими инструментами».

6. Неспособность правильно сформировать ожидания

По словам Брайана Врожека, директора по информационным технологиям компании Optiv, поставщики систем безопасности могут время от времени приукрашивать интеграционные возможности своих продуктов или не упоминать обо всех дополнительных предварительных условиях, которые должны быть выполнены для достижения заявленных результатов. Это, в свою очередь, может привести к тому, что руководители или команды по безопасности будут устанавливать для бизнес-пользователей ожидания, которые невозможно оправдать.

«Бизнес-лидеры больше знакомы с бизнес-приложениями, чем с приложениями для обеспечения безопасности,» - говорит Врожек. По его словам, они знают, что получают с такими приложениями, как Salesforce или Zoom, но не с инструментом брокера безопасности облачного доступа (CASB). «Поэтому крайне важно, чтобы вы объяснили все ограничения решения, а не сосредотачивались исключительно на преимуществах», - подчеркнул он.

7. Отсутствие навыков

Любой руководитель службы безопасности знает, насколько серьезной проблемой для организаций является нехватка навыков. Спрос просто намного превышает предложение практически по всем аспектам безопасности. Это включает в себя навыки, необходимые для интеграции различных инструментов и услуг безопасности.

Нехватка обученного персонала, который может управлять интеграцией инструментов безопасности и определять, какие действия необходимо предпринять, является ключевой проблемой сегодня, говорит Бисселл. «Чем больше у вас инструментов, тем больше времени и опыта требуется, и [это] часто приводит к значительной утечке ресурсов», - считает он.