使用零信任框架评估和监视基础结构
评估基础结构 (也称为基础结构监视) 是一个过程,可用于评估、管理和分析 IT 基础结构的容量和性能,例如服务器、应用程序、虚拟机、数据库、容器和其他后端 IT 组件。 组织实施配置管理,为所有软件和硬件定义设置和配置。 配置管理的核心目标是使组织能够规划、监视、控制和确定其基础结构的要求和配置。
监视基础结构
成功的基础结构监视要求组织为正在测量和监视的内容以及如何进行明确定义的参数。 实施最佳做法并使用可用于有效基础结构监视的适当工具,有助于组织节省成本和时间。 若要优化安全操作并获得清晰的可见性,可以实现以下提供实时监视和分析的技术。
安全信息事件管理
安全信息事件管理 (SIEM) 是安全信息管理 (SIM) 和安全事件管理 (SEM) 的组合。 SIEM 解决方案通过基于用户行为异常来识别威胁和漏洞,增强安全意识。 SIEM 软件跟踪、记录并从各种安全设备收集数据,以实现合规性和审核目的。 它向组织发出有关潜在威胁、安全漏洞或法规和合规性问题的警报。
安全业务流程、自动化和响应
安全业务流程、自动化和响应 (SOAR) 将威胁和漏洞管理 (业务流程)、安全操作自动化和安全事件响应合并到一个平台中。 SOAR 技术协调并自动执行威胁调查和响应的手动任务。
- 安全业务流程 协调并集成各种安全和生产力工具,例如漏洞扫描程序、防火墙、用户行为统计信息、入侵检测和防护系统以及 SIEM 平台。
- 安全自动化 分析从安全业务流程收集的数据,并自动执行标准工作流和任务,例如漏洞扫描、日志分析和审核。 它会触发安全警报和潜在入侵。
- 安全响应 适用于自动和手动流程,以计划、管理、监视和报告事件,以支持及时响应安全威胁。
SOAR 和 SIEM 平台收集、监视和分析来自多个源的数据。 但是,每个平台在执行和执行安全进程的方式上存在一些差异。 例如,SIEM 系统收集数据、确定异常、评估威胁,并在存在潜在威胁时向安全分析师发送警报。 SOAR 系统集成了更广泛的内部和外部工具和应用程序,同时处理相同的任务。 SOAR 技术使用人工智能来自动执行威胁检测和事件响应。 这样就可以在发生安全事件之前发送有关安全事件的警报。 这两个平台可以一起用于整体安全操作。
终结点检测和响应
终结点检测和响应 (EDR) 是一种监视和检测终结点中发生的潜在威胁或可疑活动的技术。 EDR 解决方案的核心目标是提供实时警报以及威胁的可见性,以及在发生攻击时对组织的影响。
工作负荷行为评估
“零信任”方法可确保针对本地、云和混合工作负荷的威胁提供主动安全措施。
自动标记可疑行为
可疑行为的示例可能是用户的异常登录时间或位置,或者使用应用程序或软件的异常方式。 组织部署与零信任策略一致的威胁情报和响应解决方案,以抵御攻击者。 威胁智能和响应工具会标记资源上发生的任何可疑行为或活动。 这是通过在检测到安全事件或符合性问题时生成警报来实现的。
自动阻止风险行为
随着自带设备 (BYOD) 和远程工作人员等趋势的发生,用户行为的变化是自然的,并且有可能发生。 始终信任的“零信任”原则鼓励组织实施风险管理策略,包括识别和评估人类行为。 强制实施安全配置并启用拒绝或阻止选项可以缓解重大安全事件的威胁。