以业务速度进行检测和响应

Siemplify的全球技术领导者Tim Condello在这个有趣的，内容丰富的2020年网络安全峰会中详细介绍了如何以业务速度检测和响应威胁。 企业努力工作（比其他人努力工作），以确保免受威胁因素的侵害，但事实是，违规行为会发生。黑客只需成功一次。 移动安全专家的目标杆以使其更好地与对手保持一致应该是网络安全行业的北极星。考虑到这一点，业界提出了“ 1、10、60”时间轴。
也就是说，在一分钟内进行检测，十分钟内进行调查，六十分钟内进行修复。 企业网络环境只会变得越来越广泛和复杂。蒂姆（Tim）并不惊讶于2020年SANS网络威胁情报（CTI）调查的95％的受访者说他们甚至没有接近1、10、60的目标。
但是，他没有认为目标不切实际。 “随着我们继续迭代流程，同时继续关注我们如何在安全运营中心内部做事，我认为我们可以到达那里。” 确定问题是定义解决方案的第一步。
Tim提出了可行的网络安全策略的一些障碍。 Tim提出了五步解决方案，以提高以业务速度进行检测和响应的速度。他们是： 来自各种来源（例如EDR，IPS等）的多个警报。
可以对发生的情况进行近视查看。一种特定的警报仅提供了对手流程的一部分。相反，Tim说：“您需要做的是确保安全团队可以轻松访问您的工具，以便他们可以查看和了解您所有产品的运行状况，并采取以威胁为中心的方法来确保他们正在为环境中正在发生的事情添加上下文。
此外，我们需要确保我们正在构建可重复且可伸缩的流程。”改进不完善的流程要比根本没有任何流程要好得多。构建和定义以威胁为中心的流程为利用自动化和编排铺平了道路。
大数据和数据孤岛最好由自动化来研究。然后，人为因素根据这些发现做出决策。威胁参与者依赖于缓慢的检测和响应时间，因为要隐藏的地方太多了。
通过了解环境中存在的内容并通过自动化将它们连接在一起，我们可以高效，智能地响应自动化工具的发现。 在大多数网络安全策略中都可以找到以事件响应方式进行的通信计划，这很好，但缺少的是安全运营中心内的通信。内部沟通涉及到关闭连续信息或状态查询的破坏性循环。
相反，沟通计划可确保信息驻留在特定的，可访问的区域，高层管理人员和其他主要参与者可以主动获取这些信息。 另外，沟通计划对单词应用特定的含义。 “危机”表示特定的事物。
警报和威胁均已标记并归类。定义字词意味着每个人都可以理解发生的事情，并可以做出适当的反应。它使团队可以更快地行动，更平稳地行动，并领先于下一个。
最后，蒂姆总结道，需要对安全运营中心内部发生的所有行为进行衡量和跟踪。正如Tim所说：“通过继续排练，通过继续检查安全运营中心内捕获的数据，您可以对此进行迭代。您可以确定目标对象。
此外，您可以确定实现目标的最有效方法。” 蒂姆在冗长的问答环节中结束了讨论，提出了以下问题：“您应该多久进行一次网络桌面练习，以确保响应时间和流程对您的业务而言是可接受的？”而且，“我们可以使用哪个安全平台来检测网络威胁？”在其他人中。另外，蒂姆鼓励有兴趣的人查看Siemplify的免费社区版本，以帮助您的组织通过五个步骤进行工作。
。