前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >联合前线:将安全分析与可观测性平台统一的五个原因

联合前线:将安全分析与可观测性平台统一的五个原因

原创
作者头像
点火三周
发布2024-04-17 09:52:31
1910
发布2024-04-17 09:52:31
举报
文章被收录于专栏:Elastic Stack专栏Elastic Stack专栏

在这篇文章中,我们探讨了SREs(网站可靠性工程师)和安全分析师虽然角色不同,但共享了许多相同的目标。他们都采用主动监控和事件响应策略,以便在服务受影响之前识别并解决潜在问题。他们同样将组织的稳定性和弹性放在首位,目标是最小化停机时间和中断。

然而,当他们都强调跨团队之间,以及各自团队内部的合作与沟通的重要性时,他们实现了更高级别的运营弹性,并能主动响应潜在对业务的威胁,比起独立运作能达到更好的效果。

下面是五种安全和可观测性团队在协同工作时能够实现更多的方式:

1. 提高团队协作

当涉及到供应商和技术合作伙伴时,简单的逻辑就是:工具越多 = 工作的切换越多,解决问题所花费的时间越多。孤立的单一技术增加了团队合作和洞察力的负担,这增加了劳作量,使得工作容易出错。额外的工具还增加了管理、更新和维护软件的负担。统一技术不仅减少了这种手动工作量,还通过限制访问工具对组织系统的访问,减少了组织的可攻击面

协作的实际应用

DISH Media 的广告收入业务每天从2500万个设备端点摄入并处理100亿条记录 — 包括操作、业务和安全数据。通过Elastic的统一解决方案和单一代理,现在跨团队的仪表板和数据可在单一窗格中快速分析。

这大大减少了事件检测和平均故障响应时间(MTTR),提高了客户体验。由于Elastic的单一代理,跨数百万系统和客户设备的异常现在能够被更快地发现,加速了根因分析和补救。而且由于团队操作来自单一代理,没有额外的实施成本。

“有了Elastic,我们现在拥有可以关联检测模式和异常的统一数据视图,”DISH Media的工程负责人John Haskell说。“在过去,根因分析和补救可能需要数周时间。现在只需要几个小时。”

阅读 完整的 DISH Media 故事

2. 使用统一数据平台实现完整可见性

可观测性和安全团队被数据淹没,数据随着基础设施和应用程序的复杂性持续增加。通常,这些数据是相同的,但被两个团队以不同的方式使用。将数据分隔到孤立的工具中创建了人为的界限,这减慢了从性能和威胁检测的角度解决问题的速度。此外,来自不同系统的数据可能会有不同的格式,这在组织跨系统的可见性方面创建了额外的挑战。拥有一个基于共通模式的统一平台,能够简化搜索和相关信息的关联,提高组织的可见性。

协作的实际应用

OpenTelemetry 是 Cloud Native Computing Foundation (CNCF) 生态系统中发展速度最快的项目之一,被视为遥测数据的事实标准,并被广泛应用于SRE和安全团队。OTel 语义规范框架帮助用户减少了查询和关联多样化数据所需的时间和努力,构建可视化,并分析用于机器学习应用的特征。

使用OTel 语义规范标准化安全和可观测性数据是一个强大的工具,大大减少了那些经常阻碍软件、性能和安全问题有效分析的复杂性。SRE和安全团队以及技术供应商正在拥抱开放数据标准,以便全面分析多样化和异构的数据。

3. 异常和威胁检测

数据的指数级增长以及代码和基础设施部署的快速节奏,带来了在服务受影响之前发现异常和检测威胁的挑战。使用开箱即用和可定制的机器学习(ML)模型,构建AIOps能力可以帮助企业自动检测异常,并提供根因分析和补救支持。可观测性解决方案减少噪音的能力取决于遥测数据,包括指标、日志、跟踪和性能分析数据。

日志、分布式跟踪和指标提供了对请求流、请求量和类型以及其他性能特征的视图。这些关联和上下文数据为分布式系统提供了一个综合视图,这也可以被用来调查安全事件。基于建立的历史基线分析数据并识别偏差,加速了安全调查。

生成性AI和检索增强生成(RAG)能力的演进使得SRE和安全团队能够进一步调查和分析,利用交互式助手,这些助手理解自然语言,并能为所有级别的运营和安全团队提供快速答案,减少解决问题的时间。

协作的实际应用

与可观测性平台集成的SIEM解决方案和其他安全技术利用了日志、指标和跟踪的洞察。这种统一的方法使得主动识别异常模式、可疑活动和潜在的安全事件成为可能。

通过关联网络流量中异常日志峰值和服务器性能指标,组织可以快速区分合法的流量激增和潜在的DDoS攻击。不寻常的模式,如重复的登录失败或来自不寻常位置的访问,可以迅速浮现 — 显著降低了攻击成功的可能性。

4. 工具整合和成本降低

除了增加的可见性和主动识别问题之外,在统一平台上整合可观测性和安全能力还可以通过工具整合实现附加的成本节约。统一平台意味着通过整合相关的运营费用、服务、数据存储和管理两种实践所需的人员,降低了总体拥有成本。

协作的实际应用

企业云数据管理领导者Informatica用Elastic的统一平台取代了其复杂的可观测性和SIEM解决方案。它在保护系统免受外部威胁的同时,提升了应用性能 —— 同时在预算上也实现了大幅节省。

"有

了Elastic,我们就有了一个既用于可观测性又用于SIEM的单一供应商。对于我们这样规模的组织,这意味着与其他解决方案相比节省了50%的成本," Informatica的ML工程、可观测性和网站可靠性工程负责人Amreth Chandrasehar说。

而且,性能并不需要因整合而妥协。实际上,Informatica发现情况恰恰相反。"Elastic的搜索功能非常快,"Chandrasehar解释说。"我们存储了数万亿文档,但搜索查询在10秒多一点的时间内返回准确结果。"

阅读 完整的 Informatica 故事

5. 数据处理的监管合规

加强安全实践有助于组织遵守监管可观测性数据处理的行业法规。通过将可观测性计划与严格的合规要求对齐,组织不仅能避免法律后果,还能在利益相关者中树立信任。

这种对齐便利了可观测性工具在受监管环境中的无缝集成。它还展示了安全和可观测性在满足这些合规标准方面的互利关系潜力。

协作的实际应用

没有哪个行业像金融行业那样了解合规要求。中东资产最大的银行集团之一Emirates NBD建立了一个集中的日志系统,每天处理来自多个数据来源的数TB数据。以Elastic为核心,这个新环境构成了副总裁Ali Rey所描述的单一事实来源的基础。

集中日志为银行提供了加强安全的途径,并存储和检索治理利益相关者所需的审计日志。"如果有任何争议,或任何问题、查询或任何事情,无论是内部还是外部视角,我们都有这些未被篡改的审计日志," Rey说。

得益于与Elastic的集中日志迁移,该银行已从其最初的可观测性投资扩展到安全领域,帮助其检测到外部和内部的威胁。

阅读 完整的 Emirates NBD 故事

向统一数据可见性迈出第一步

当可观测性和安全功能协同工作时,他们确保了一个更安全、可靠的运营环境。强化的安全实践不仅是商业和声誉健康的基本防御措施,也是可观测性工具效果的催化剂。而在自我增强的循环中,安全姿态进一步通过可观测性监控中浮现的差异得到加强。

依靠基于开放标准的统一数据平台,用于安全和可观测性实践可能看起来是一个遥远的目标,但今天就采取初始步骤,在腾讯云Elasticsearch Service上尝试构建统一的日志平台,为您的组织长期做好准备。

阅读SANS报告 在黑暗中照亮光明:可观测性+安全,或者 观看网络研讨会,了解有关这一新兴战略的更多信息,以及如何采取措施统一组织的可观察性和安全功能。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 提高团队协作
    • 协作的实际应用
    • 2. 使用统一数据平台实现完整可见性
      • 协作的实际应用
      • 3. 异常和威胁检测
        • 协作的实际应用
        • 4. 工具整合和成本降低
          • 协作的实际应用
          • 5. 数据处理的监管合规
            • 协作的实际应用
            • 向统一数据可见性迈出第一步
            相关产品与服务
            Elasticsearch Service
            腾讯云 Elasticsearch Service(ES)是云端全托管海量数据检索分析服务,拥有高性能自研内核,集成X-Pack。ES 支持通过自治索引、存算分离、集群巡检等特性轻松管理集群,也支持免运维、自动弹性、按需使用的 Serverless 模式。使用 ES 您可以高效构建信息检索、日志分析、运维监控等服务,它独特的向量检索还可助您构建基于语义、图像的AI深度应用。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档