安全工具膨胀的隐性成本及其解决方法

深度可观察性如何简化安全操作、优化成本和加强纵深防御策略的见解。

许多 CISO 面临着削减安全预算的压力，同时又要保持强大的防御能力。

为什么今年要把打击工具膨胀作为首要任务？

CISO 始终面临着如何用更少的资源做更多事情的挑战。他们肩负着实施纵深防御策略的任务，即一种分层的网络安全方法，可同时防御前端和后端威胁。

随着组织采用混合和多云基础设施、集成 AI、扩展安全工具堆栈并应对不断升级的管理挑战，这项任务变得越来越复杂。

CISO 面临的最大挑战之一是工具膨胀或冗余或未充分利用的安全工具的积累，这会增加成本、造成效率低下并使集成复杂化。

2024 年，工具膨胀位列CISO 最关心的五大问题之一。虽然分层安全工具旨在加强防御，但它可能导致碎片化、孤岛和盲点，从而削弱整体安全性。这种碎片化最终可能会损害纵深防御策略，增加违规风险。

为了解决这一问题，组织必须优先考虑获得对所有移动数据的完整可视性、监控东西向（横向）移动以及通过基于网络的元数据提高遥测的保真度。

深度可观察性，即日志和网络遥测数据的集成，不仅可以简化安全工具堆栈并提高效率，还可以降低复杂性 — 确保每个工具都为纵深防御策略做出有意义的贡献。

某些特定安全领域的工具之间存在最多的冗余或重叠？

可观察性与安全信息和事件管理 (SIEM) 工具之间经常出现工具重叠。组织发现，当将指标、事件、日志和跟踪 (MELT) 数据与网络遥测数据集成时，他们可以最大限度地发挥两者的价值。

这种强大的组合提供了发现以前未发现的漏洞（例如弱密码和过期证书）所需的深度可观察性，这些漏洞可能会增加违规风险。

组织在评估应保留、替换或淘汰哪些工具时应使用的最佳实践或框架？

为了最大限度地发挥现有安全和可观察性工具的价值，组织需要对动态数据进行深入观察，并能够优化发送到工具进行分析的数据流。这可以减少重复或不相关的数据，从而可能降低对多个工具实例的需求。

通过分析一次网络流量并将其分发给多个工具，组织可以提高效率并减少代理膨胀——随着安全堆栈的扩展，代理膨胀是一个日益严峻的挑战。

优化工具使用的关键步骤：

进行工具清单——评估所有安全性和可观察性工具、其成本和功能。
基准性能——确定可增强安全态势的工具和造成冗余的工具。
优先考虑集成——选择覆盖范围广、集成性好的工具，避免孤立的点解决方案。

采取这些主动措施可确保每种工具在分层安全模型中发挥独特的作用，加强纵深防御，同时提高成本效率和运营效率。

组织如何确保工具的减少不会导致安全漏洞，尤其是在将不同的功能整合到更少的平台时？

组织应优先考虑工具优化，而不是减少。通过将 MELT 数据与网络遥测数据集成，并有效地将其传送到安全和可观察性工具，组织可以获得跨网络流量、云环境和端点的深度可观察性。这种额外的洞察力有助于更有效地映射安全覆盖范围，并有助于消除冗余工具。

整合应该是一个持续的过程。安全主管必须持续监控和评估他们的工具堆栈，以便在工具整合和优化之后长期保持安全有效性。

提高网络可见性如何有助于减少对冗余安全工具的需求？

有限的可视性常常促使组织部署重叠的工具。由于这些工具未正确安装，它们也无法看到所有相关流量，从而导致安全态势出现漏洞。深度可观察性消除了这种需求，它提供了对混合云环境中所有移动数据的全面视图，不仅是南北移动，还包括东西（横向）移动。

其主要成果包括：

主动威胁检测– 横向（东西向）移动是许多安全团队的盲点。深度可观察性可加快威胁检测和响应速度。
减少冗余工具——对所有运动数据的统一、实时视图减少了对不必要的监控工具的需求。
提高运营效率——网络遥测可提供可操作的见解，消除对分散、重叠工具的依赖。

通过获得深度可观察性，组织可以简化其工具堆栈并执行强大的纵深防御策略。