CARTA 七个当务之急（4-5）

 当务之急4:用于全面、全栈风险可见性的仪器基础设施，包括敏感数据处理

图2、图3和图4的中心是“持续可见性和评估”。本质上，这些圆圈代表CARTA风险和信任评估引擎，它们不断地做出自适应的安全决策。但我们究竟在监控和评估哪些方面的风险和信任呢?

答案是:一切皆有可能。

目标应该是在任何可能的地方看到堆栈的各个部分。传统的安全基础设施过度依赖于网络和端点可见性。然而，当我们不再拥有网络、服务器、操作系统或SaaS应用程序，并且我们通常不拥有或管理设备时，这就行不通了。网络安全和终端安全是一种“达到目的的手段”——但信息安全的最终目标一直是保护工作量和信息。安全和风险管理领导者必须像我们过去保护网络和端点那样，擅长实体、应用程序和数据的可见性和保护。

通过对用户行为、交互、交易和敏感数据处理的可见性和评估，这对于保护云服务中的用户和数据尤为重要。

自底向上的端点和网络可见性仍然很重要(当我们有它的时候)，但是必须使用自顶向下的可见性来增强，如图5所示。在所有情况下，目标是在发生过度风险时尽可能快地检测到，通过确保能见度我们可以访问的大部分堆栈。我们将尽可能地监控一切——所有能够感知用户、设备及其行为的行动、互动、交易和行为。这种全栈可见性在发生漏洞或内部威胁时提供详细的回顾性分析和取证，并提供根因分析所需的信息。

图5将“Up the Stack”转换为身份、数据和事务

此外，如果后来发现某个实体及其行为是恶意的，则可以使用详细的可见性来回滚操作。

为了提供用户、数据行为和交互的可见性，出现了多种技术类别来满足这一需求。一个例子是关注敏感数据、监控、交互和事务的用户和实体行为分析(UEBA)。嵌入式UEBA功能对于监控云服务中的过度风险至关重要，在云服务中，用户行为和数据敏感性可以通过应用程序编程接口获得。例如，领先的casb提供此功能，以及一些IaaS提供商，如Amazon Web Services (AWS)与Amazon Macie.3这导致了另一个关键的子命令:。

安全作业必须扩展到包括身份/实体相关、数据相关和流程相关的风险评估和监测。

传统的安全运营中心(SOC)监控和响应关注于图2右下角的攻击活动的快速检测和响应。然而,公司风险,如窃取敏感数据,内部威胁,和帐户收购袭击者,还必须发现和回应(低右部分的图3)。在数字业务,风险检测的敏感数据是如何被使用的可能是一样重要的服务器的拒绝服务攻击。这两个事件都代表着风险，必须进行优先排序，以便我们有限的SOC资源能够集中精力。在许多情况下，这些风险是相互交织在一起的(恶意行为者渗透到组织中，然后试图窃取敏感数据)，因此我们必须停止将这些问题视为独立的问题。

此外，当检测到过高的风险时，部分响应工作可能包括使用IAM fabric——撤消访问、终止会话、隔离帐户或要求进一步身份验证。我们看到了来自安全信息和事件管理(SIEM)供应商的IAM响应集成的例子，如Oracle的Identity SOC4和赛门铁克的CASB,CloudSOC.5我们必须有能力检测和响应所有类型的过度风险——实体、应用程序、数据、流程和攻击，以针对风险——优先考虑我们的补救工作。

 当务之急5:使用分析、AI、自动化和编排来加快检测和响应的时间，并扩展有限的资源

安全团队检测和响应过度风险(以防止或减少财务影响为目标)所花费的时间将是未来十年最关键的安全指标之一。此外，正如我们在前面讨论的那样，对全栈可见性的需求——超越最初的限制决定，并将堆栈上升到用户和数据——将产生大量的行为数据(“大数据”)，包括网络、端点、用户、事务和数据使用。数据的数量、速度和多样性限制了我们有效检测和应对过度风险的能力。安全分析师被事件和警报淹没，其中大多数是假消息或代表低风险。为了确定有意义的风险指标，必须使用多种分析方法来分析这些数据，包括使用:

• 传统签名

• 行为签名

• 相关性

• 欺骗技术

• 模式匹配

• 通过对比历史行为模式和同行(团体或组织)来确定基线和异常检测。

• 实体链接分析

• 相似性分析

• 神经网络

• 机器学习(有监督和无监督)

• 深度学习

我们必须承认，在数字企业中识别风险将需要一套针对不断增加的数据集的分层、数学和分析方法。像签名和模式匹配这样的技术要求更少计算能力和时间。像机器学习这样的技术需要更长的时间，并且需要历史数据集来处理。机器学习和深度学习对于检测数字商业风险至关重要，但也会像其他单层安全系统一样被愚弄6。

过分依赖单一的分析或数学技术将使组织暴露。最好的安全供应商和平台将使用多层分析技术来更好地检测和发现有意义的风险，将我们有限的资源集中在真实和重要的风险上。

其效果就像一个漏斗，收集数十亿事件，并使用分析和上下文将它们提炼成少量高保证、高价值和高风险的事件，安全团队每天必须关注这些事件。

“纵深防御”的安全原则必须延伸到分析方法上:“纵深分析”。

安全和风险的每个方面都需要先进的分析和机器学习，包括下一代攻击保护平台、访问保护平台、数据保护风险和开发风险(见注2)。

分析的使用将加快我们发现风险的时间。自动化、编排和人工智能(AI)将加快我们做出反应的时间。我们必须使用自动化、编排和人工智能作为力量倍增器，提高我们有限的安全行动资源的效率和效力。我们没时间调查每一个事件。大数据分析和机器学习将让我们有限的员工专注于三个关键问题的交叉:

•风险是否真实存在?

•这种风险有多危险?

•处于危险中的对象重要吗?

后者就是为什么环境对于做出基于风险的安全决策如此重要。例如,一个公开打开的文件共享(例如Amazon S3对象存储桶)可能有风险，但可能是共享文件的合法用例。然而，一个公开的包含敏感数据的文件共享是完全不同的，它代表着直接和重要的风险，很可能应该自动不共享。这两个例子的区别在于上下文——基于资产的业务价值、服务或相关数据的敏感性，重点关注什么是重要的。

自动化和人工智能将携手并进。用一个生物学的比喻来说，人类不是通过提高白细胞数量来对抗感染;它自动发生。同样，我们认为更多的常规安全决策也将是高度自动化的，有些将是自主的。这将为安全分析师腾出时间来分类和关注代表组织最高风险且不能自动化的问题。完全自动化应首先应用于我们对风险有最高保证且有充分理解的补救措施的地方(例如，在敏感数据暴露时对其进行隔离在公共股票上)。在其他领域，自动化的能力让安全专业人员决定何时何地可以在没有人工干预的情况下应用自动化。

由机器学习和人工智能(见注释3)技术驱动的自动化决策将有助于无法完全自动化的响应。例如，人工智能将被用于人工辅助的SOC分析师决策支持系统。在这里，可以通过响应行动的标准化剧本来指导SOC分析师，或者分析人员可以提供一个智能的、优先级的建议行动列表，分析人员可以从中选择。

通过自动化日常任务，企业将看到SOC效率和有效性的显著提高，对于更复杂的任务，使用AI指导分析师通过补救，并根据他们的决定采取自动化行动。在自动化方面，Gartner的研究解释了安全编排自动化和响应(SOAR)能力作为信息安全中另一个显著增长领域的重要性。SOAR将帮助建立一个CARTA战略方法。

最后，在分析之上的可视化能力将成为导航大型数据集的关键——网络流、用户行为、系统行为、数据流、应用程序连接性等等。安全分析师有必要将这些关系可视化，以便更好地理解和解释数据。例如，安全分析师可以可视化事件链，以理解单个事件如何相互关联、攻击者的路径、受影响的系统和数据泄露。

​