解决这个问题需要实施如下三个关键要素,且都围绕着单一需要而构建:对常见安全平台的需要。
首先,单一安全平台支持不同的解决方案(无论是来自单个厂商的或是多个厂商的),可以查看并关联不同的事件。当然,这种安全平台需要能够广泛部署到每一个网络边缘和设备上。这就确保了在整个运营环境中(网络、端点、云)以及在整个攻击链中的普遍可见性。这种平台还需要监视网络连接和应用程序的要素,从而可以轻松地适应动态的网络和应用程序环境。而且,它还需要常见的安全和管理架构,能够支持可以轻松发现、自动共享、集中协调的统一威胁情报。
其次,这种安全平台还必须确保在其不同的安全要素之间的深度整合,这可以通过利用常见的操作系统或利用常见的标准和开放性API来实现。而且,这种整合平台的方法还必须支持部署在网络中的每种解决方案都能够作为一个统一系统的一部分而运行,从而可以使安全团队以协调一致的方式有效地看见、共享和关联威胁,并对其做出响应。
第三,这种平台需要能够利用自动化。最后一点,预防速度是安全的关键。如果完美地实施了上述措施却响应太迟,攻击者同样可以得手,那就变得毫无意义了。如果能够借助训练有素的机器学习技术,以及能够利用端点、网络和云中的统一数据集的人工智能技术进行检测、调查和响应(包括用新的可用的威胁数据重新进行安全配置),就可以更高效地运行安全机制。实现有效和全面的自动化是任何安全平台的终极目标,在管理不断扩张的网络和不堪重负的安全团队时,这一点尤其关键。深度防御并非新概念。但实际上,最佳的深度防御策略不应当是把大量的“点方案”塞到网络上。恰恰相反,这种最佳防御策略应当支持部署在分布式网络(包括端点、云和应用程序)中的多种工具,并作为一种统一的解决方案而运行,能够检测企业在任何位置和攻击链中的威胁,并做出响应。实现此目标的最佳方法是使用常用的安全平台来构建一种综合性的安全架构。