从网络防御矩阵理解纷繁复杂的安全市场

      网络防御矩阵：旨在帮助首席信息安全官进行战略性的、知情的安全投资，在业务限制和目标的背景下权衡网络风险。

     Sounil Yu作为美国银行的前首席安全科学家，负责审查和推荐新的网络安全技术以供采用。但他不断发现自己正淹没在无穷尽的供应商产品和市场混乱的海洋中。他说，“我盯着一堆没有任何意义的流行语，试图捣乱我们真正需要的东西。”

      Sounil Yu目前是 JupiterOne 的 CISO 和研究主管以及担任国家安全研究所的研究员。他想要一种系统的方法来明确产品、解决问题，提高美国银行在更广泛安全战略中的位置。因此，在 2015 年，他开发了网络防御矩阵。这是一个框架，可帮助陷入困境的安全领导者在混乱的市场环境中对众多争夺注意力的技术进行分类。Yu 表示，全球数百家主要组织使用该矩阵将产品和服务与其安全计划对应起来，告知他们的采购决策并创建技术路线图，同步确定他们如何在安全计划中进行预算和分配资源。

      在其 x 轴上，网络防御矩阵捕获了NIST 网络安全框架的五个操作功能：识别、保护、检测、响应和恢复。在 y 轴上，它显示了企业可以保护的五类资产：用户、数据、网络、应用程序和设备。例如，安全意识培训将位于用户和保护的交叉点，而云备份将位于数据和恢复交叉点。该结构旨在将组织现有安全组合中的新工具和技术置于上下文中，说明它们如何——或可能不会——增加价值。

     在网络防御矩阵的五乘五网格下，水平连续体说明了人员、流程和技术要求如何根据 NIST 功能而变化。例如，在矩阵的左侧，识别和保护在很大程度上依赖于技术，而检测同样依赖于技术和人。最右边的恢复很难自动化，需要高度的人工干预。与此同时，流程在所有职能中仍然同等重要。

     为了解释网络防御矩阵在实践中的工作原理，YU使用了一个扩展的食物类比：当今拥挤、混乱的网络安全市场就像一家杂货店，所有物品都堆在地板上，杂乱无章。他说，产品标签使用不一致甚至具有误导性的术语和行话，让客户对他们需要什么以及如何找到它感到困惑。

     要使用网络防御矩阵，组织应首先确定其“储藏室”或当前环境中已有的资源，并将这些资源映射到网格上。此时，矩阵可能看起来像一张宾果卡，一些网格方块被现有产品、项目和人员占据，而另一些则是空的，突出了安全计划的差距。

     然后，公司应考虑其攻击面、威胁环境和风险偏好，所有这些都反映了其独特的“营养需求”，以及其业务和技术限制或“饮食限制”。想象一下，例如，有人打算消耗更多的植物性蛋白质，但同时也对坚果过敏，所以这个人开始吃杏仁是不明智的。同样，Yu 表示，高速交易环境中的 CISO 需要降低风险，但不能以快速连接为代价。“如果我通过安全控制引入延迟，那么我还不如关闭商店，因为我将无法赚钱。”

      以另一家企业为例，几乎没有技术限制并且能够在不破坏业务目标的情况下部署几乎任何安全控制的企业——可能以“停电宾果游戏”为目标，在 25 个矩阵方格中的每一个方格中都有适当的机制。另一方面，如果一家公司对风险有更高的容忍度，则高管们可以决定战略性地限制安全支出并让电网的某些区域空置。

      “我们只是希望能够重新权衡和评估我们的假设，”Yu说。“然后，它变成了一个商业讨论：相对于我们实施一组特定的安全控制将面临的损失，我们是否愿意因安全事件而遭受一定程度的损失？” 通过这种方式，矩阵还可以帮助组织将安全性与业务目标保持一致。

      Yu补充说，典型企业的需求和限制因部门而异。通过将网络防御矩阵应用于各个业务部门，大型组织可以连贯地捕捉内部差异，以针对业务线定制安全策略，并确定哪些控制在全公司范围内有意义。

      “这就像一家餐厅，必须为素食者、肉食者、杂食者和其他具有不同饮食需求和口味的人提供服务，不是一刀切的。”

     据Yu表达，自从他首次开发了审查网络安全供应商产品的框架以来，网络防御矩阵的案例不断出现和发展。这些包括以下内容：

·  使安全计划与业务目标保持一致；

·  分配资源；

·  评估新技术，例如零信任；

·  评估证券组合的差距；

·  捕获业务限制；

·  创建网络安全路线图；

·  衡量投资回报率；

·  了解内部职责和交接；

·  理解为什么一些可用的工具不在内部使用；

·  可视化攻击面。