网络安全报告和相关CISO睡眠模式中的设计缺陷

我最近停止使用健身追踪器，尽管不是由于网络安全漏洞或隐私问题。相反，它归结为该应用程序提供的绝大多数负面报告。 像许多CISO一样，我睡得很少。就我而言，每晚睡眠五到六个小时是遗传的。
尽管跟踪器收集了详细的遥测信息，但该应用程序仅提供与其他人的比较报告。尽管有我的经验，该应用程序惊人地声称我连续几个星期都出现了严重的睡眠问题。 在没有单独定制的情况下生成高度准确的报告是当今许多网络安全解决方案始终存在的设计缺陷。
一些解决方案基于各个组织提供高度详细的遥测和报告。在组织部署安全信息和事件管理（SIEM）解决方案之前，我们需要遍历其端点检测响应（EDR），防病毒（A / V），防火墙，入侵检测系统（IDS），入侵防御系统（ IPS），内部风险管理平台，特权访问管理平台，各种平台日志（例如syslog和Windows事件日志）以及其他日志。 请参阅相关：如何创建企业安全支持者请参阅相关：如何创建企业安全支持者 SIEM解决方案有望成为查看这些警报的唯一平台，不幸的是，这导致我们在安全运营中心（SOC）的分析人员中引起警报疲劳的文化。
让组织在没有足够上下文的情况下提供所有这些数据通常会产生两个结果之一：恐慌，因为一切都在响，必须紧急；或疲劳，因为一切都在响，并且无法知道这是否正常。 其他网络安全解决方案可根据行业垂直或行业规模提供出色的比较数据。威胁情报是一个很好的概念，因为组织可以看到类似组织的情况。
不断模拟类似规模的公司所看到的攻击和破坏的能力可以提供价值，并帮助发现未正确配置或部署的控制措施完全没有将您的组织和供应链视为威胁参与者的方式同样可以提供价值。 但是，此领域的解决方案往往模棱两可，并且缺乏提供价值所必需的组织定制。
仅当您可以检测到这些攻击具有发生或被阻止。知道您所在市场的软件供应链往往容易受到JavaScript注入的攻击，从而导致Magecart式的攻击，这只有在您可以评估您的实际软件包和平台是否易受攻击的情况下才有所不同。否则，这些解决方案只会帮助您传达以下信息：世界上正在发生坏事。
请参阅相关内容：建立安全文化的6条标准请参阅相关内容：建立安全文化的6条标准 每个月都有一个供应商的报告横穿我的办公桌，使我的脸上露出笑容。该报告显示事件的数量，我们组织以前从未见过的新事件的数量，在相同行业的类似规模的组织中观察到的典型事件数，以及其他组织正在看到的新事件。也有其他数据，但是该报告只有四页，包括一页分析师的评论和建议。
人工智能和人类分析师混合处理的幕后存在大量数据，但总结如下：提供背景并支持决策。 CISO不仅可以了解其组织的具体情况，而且还可以了解其如何适应全球威胁形势以及与同类组织的比较，从而在晚上睡得更好。在考虑2020年及以后的网络安全投资预算时，请考虑放弃那些设计报告不佳的解决方案，这些解决方案会产生压力，或造成阻碍决策的模糊性。
CISO的作用不是读取所有数据并自行得出结论。相反，它是在做出决策或将这些决策提交给董事会之前，对可信赖顾问的摘要和意见进行审查。 请参阅相关文章：与迈克尔·罗杰斯海军上将将网络对话从技术转变为风险。请参阅相关文章：与迈克尔·罗杰斯海军上将将网络对话从技术转变为风险。