隨著IT基礎設施變得越來越分散和復雜，這使網(wǎng)絡安全管理員很難保護用戶、數(shù)據(jù)、應用程序、系統(tǒng)和網(wǎng)絡免受攻擊。同時，層層疊疊的虛擬化、容器化和架構(gòu)疊加使安全團隊難以適當查看其網(wǎng)絡、識別威脅，并在合理的時間內(nèi)對其進行修復。

[[403950]]

那些整合人工智能和機器學習功能的高級安全工具宣稱它們能夠在第一方和第三方基礎設施以及各種軟件定義的網(wǎng)絡層中提供安全清晰度。與此同時，對于安全可觀察性與可視性及監(jiān)控的角色，開始出現(xiàn)混淆。有些人認為這三個術(shù)語可以互換，但其實它們存在明顯差異，這可能會影響這些安全工具和流程的交互方式。

監(jiān)控向安全團隊發(fā)出警報

安全監(jiān)控工具已經(jīng)存在幾十年。大型監(jiān)控工具集的工具或功能通常由IT安全管理員配置，以獲取各種設備或軟件日志、簡單網(wǎng)絡管理協(xié)議輪詢和陷阱、事件消息、NetFlow、數(shù)據(jù)包捕獲和其他流式遙測數(shù)據(jù)。

通常會設置觸發(fā)器，因此當安全監(jiān)控工具處理事件時，當符合特定情況或達到特定閾值的，就會發(fā)出警報。IT安全人員將處理警報，以識別它是否是有效的安全威脅，確定安全事件的根本原因并修復威脅。

安全監(jiān)控可以部署在主機、系統(tǒng)、應用程序或網(wǎng)絡級別。但是，傳統(tǒng)的安全監(jiān)控工具需要管理員花費大量時間通過手動流程來追蹤和解決事件。隨著基礎設施變得更加復雜，以及收集的監(jiān)控數(shù)據(jù)越來越多，這個問題變得更加困難。此外，安全事件通常會生成來自多個安全監(jiān)控工具的警報。這些重復的警報可能會導致安全監(jiān)控疲勞。

可觀察性提供智能和修復

安全可觀察性有助于解決監(jiān)控疲勞問題?？捎^察性平臺添加智能，以更廣泛進行監(jiān)控，以確定警報的真正根本原因并幫助管理員正確修復它。

人工智能、機器學習和自動化等先進技術(shù)可幫助集中、關(guān)聯(lián)和理解由各個安全監(jiān)控工具的產(chǎn)生的所有警報。

讓我們進一步了解可觀察性的安全功能：

• 驗證預期的應用程序性能?？稍O置性能閾值，并在應用程序性能低于最低水平時通知管理員。
• 設置行為基線以及當行為偏離正常觀察值時發(fā)出警報。可觀察性工具為正?；A設施和流量行為設置基線，并在行為偏離正常閾值時發(fā)出警報。
• AI驅(qū)動事件和根本原因分析。AI可以識別發(fā)生事件的特定硬件和軟件位置，并提供見解以幫助最好地解決問題。
• 預測分析?？捎^察性工具不是對可能導致應用程序中斷或性能問題的基礎設施事件做出反應，而是可在發(fā)生任何重大事件和中斷之前確定應解決的基礎設施區(qū)域。
• 網(wǎng)絡檢測和響應。NDR工具可幫助提供對整個數(shù)據(jù)安全生命周期的全面可視性，從安全事件識別到事件解決。

可視性剝離網(wǎng)絡層

重要的是，不要完全從技術(shù)角度考慮安全可視性，而是從IT安全團隊的角度考慮?？梢曅允顷P(guān)于現(xiàn)有監(jiān)控工具集和可觀察性架構(gòu)可提供的范圍和深度，以安全管理員易于理解的格式。

由于網(wǎng)絡高度分布，因此安全可視性必須能夠查看企業(yè)網(wǎng)絡的所有角落，包括企業(yè)LAN、WLAN和本地數(shù)據(jù)中心，以及WAN和私有云和公共云上的遠程站點。

例如，在疫情的早期階段，當員工被迫離開辦公室并在家工作時，缺乏網(wǎng)絡安全可視性的情況可能很普遍。當時安全團隊急于加強他們的安全監(jiān)控和可觀察性工具，以提高可視性，包括對整個互聯(lián)網(wǎng)以及遠程位置–用戶訪問企業(yè)應用程序和數(shù)據(jù)的位置。

安全可視性平面使IT能夠剝離每個軟件層，直到它到達基礎設施的基礎。監(jiān)控工具從虛擬化服務器、容器和網(wǎng)絡覆蓋中獲取狀況和安全信息。在物理硬件和主機操作系統(tǒng)(虛擬化軟件平臺基礎)也有額外的監(jiān)控。

不同但平等

為了突出可觀察性與可視性和監(jiān)控工具的作用，兩位IT安全管理員之間關(guān)于如何更快地解決觸發(fā)安全事件的典型對話可能會從細粒度級別開始，并擴展到更高級別。

在這種情況下，首先需要部署和配置特定工具來監(jiān)控部分基礎設施。然后將解決這些工具產(chǎn)生重疊和冗余警報的問題，以及將警報發(fā)送到集中工具以進行智能分析，并可能與單個安全事件相關(guān)聯(lián)的方式。

輸入安全可觀察性。監(jiān)控和可觀察性工具可以部署在局域網(wǎng)和數(shù)據(jù)中心，但公有云呢?這就是安全可視性的用武之地。

可觀察性與可視性和監(jiān)控工具具有不同的目的，但在整個企業(yè)安全架構(gòu)中扮演著互補的角色。