安全可觀察性和可視性及監控

隨著IT基礎設施變得越來越分散和復雜，這使網絡安全管理員很難保護用戶、數據、應用程序、系統和網絡免受攻擊。同時，層層疊疊的虛擬化、容器化和架構疊加使安全團隊難以適當查看其網絡、識別威脅，并在合理的時間內對其進行修復。

那些整合人工智能和機器學習功能的高級安全工具宣稱它們能夠在第一方和第三方基礎設施以及各種軟件定義的網絡層中提供安全清晰度。與此同時，對于安全可觀察性與可視性及監控的角色，開始出現混淆。有些人認為這三個術語可以互換，但其實它們存在明顯差異，這可能會影響這些安全工具和流程的交互方式。

監控向安全團隊發出警報

安全監控工具已經存在幾十年。大型監控工具集的工具或功能通常由IT安全管理員配置，以獲取各種設備或軟件日志、簡單網絡管理協議輪詢和陷阱、事件消息、NetFlow、數據包捕獲和其他流式遙測數據。

通常會設置觸發器，因此當安全監控工具處理事件時，當符合特定情況或達到特定閾值的，就會發出警報。IT安全人員將處理警報，以識別它是否是有效的安全威脅，確定安全事件的根本原因并修復威脅。 安全監控可以部署在主機、系統、應用程序或網絡級別。但是，傳統的安全監控工具需要管理員花費大量時間通過手動流程來追蹤和解決事件。隨著基礎設施變得更加復雜，以及收集的監控數據越來越多，這個問題變得更加困難。此外，安全事件通常會生成來自多個安全監控工具的警報。這些重復的警報可能會導致安全監控疲勞。

可觀察性提供智能和修復

安全可觀察性有助于解決監控疲勞問題。可觀察性平臺添加智能，以更廣泛進行監控，以確定警報的真正根本原因并幫助管理員正確修復它。

人工智能、機器學習和自動化等先進技術可幫助集中、關聯和理解由各個安全監控工具的產生的所有警報。 讓我們進一步了解可觀察性的安全功能：

• 驗證預期的應用程序性能。可設置性能閾值，并在應用程序性能低于最低水平時通知管理員。

• 設置行為基線以及當行為偏離正常觀察值時發出警報。可觀察性工具為正常基礎設施和流量行為設置基線，并在行為偏離正常閾值時發出警報。

• AI驅動事件和根本原因分析。AI可以識別發生事件的特定硬件和軟件位置，并提供見解以幫助最好地解決問題。

• 預測分析。可觀察性工具不是對可能導致應用程序中斷或性能問題的基礎設施事件做出反應，而是可在發生任何重大事件和中斷之前確定應解決的基礎設施區域。

• 網絡檢測和響應。NDR工具可幫助提供對整個數據安全生命周期的全面可視性，從安全事件識別到事件解決。

可視性剝離網絡層

重要的是，不要完全從技術角度考慮安全可視性，而是從IT安全團隊的角度考慮。可視性是關于現有監控工具集和可觀察性架構可提供的范圍和深度，以安全管理員易于理解的格式。

由于網絡高度分布，因此安全可視性必須能夠查看企業網絡的所有角落，包括企業LAN、WLAN和本地數據中心，以及WAN和私有云和公共云上的遠程站點。

例如，在疫情的早期階段，當員工被迫離開辦公室并在家工作時，缺乏網絡安全可視性的情況可能很普遍。當時安全團隊急于加強他們的安全監控和可觀察性工具，以提高可視性，包括對整個互聯網以及遠程位置–用戶訪問企業應用程序和數據的位置。

安全可視性平面使IT能夠剝離每個軟件層，直到它到達基礎設施的基礎。監控工具從虛擬化服務器、容器和網絡覆蓋中獲取狀況和安全信息。在物理硬件和主機操作系統（虛擬化軟件平臺基礎）也有額外的監控。

不同但平等

為了突出可觀察性與可視性和監控工具的作用，兩位IT安全管理員之間關于如何更快地解決觸發安全事件的典型對話可能會從細粒度級別開始，并擴展到更高級別。

在這種情況下，首先需要部署和配置特定工具來監控部分基礎設施。然后將解決這些工具產生重疊和冗余警報的問題，以及將警報發送到集中工具以進行智能分析，并可能與單個安全事件相關聯的方式。

輸入安全可觀察性。監控和可觀察性工具可以部署在局域網和數據中心，但公有云呢？這就是安全可視性的用武之地。

可觀察性與可視性和監控工具具有不同的目的，但在整個企業安全架構中扮演著互補的角色。