事件響應失敗的4大原因剖析
2018年08月16日
網絡安全威脅場景正在加速演變�����,各行各業(yè)����、各種規(guī)模的企業(yè)都深受困擾����。事實證明,僅在2018年����,各種類型的企業(yè)——包括Best Buy�����、Delta、Orbitz����、Panera、Saks Fifth Avenue以及Sears等——都已經淪為網絡威脅的受害者��。
如今�,威脅范圍和復雜程度不斷提高,加之新型智能技術的普及應用���,使得那些利用物聯(lián)網技術進行的惡意攻擊��,大大增加了安全人員的響應難度�。通常情況下�����,這些新型技術都沒有針對其自身存在的安全漏洞進行全面檢測�,一旦企業(yè)啟用這些技術,就等于同時接收了這些漏洞����,從而為企業(yè)捍衛(wèi)和保護其網絡及資產增加了難以防御的挑戰(zhàn)�。
如今���,企業(yè)漸漸發(fā)覺����,不僅是防御工作越來越難開展�,就連事件響應工作也經常失敗。
接下來��,就為大家總結一下企業(yè)難以檢測���、控制并修復威脅的4大主要原因:
原因1:資源不足
隨著過去十年威脅數(shù)量和復雜程度的日益飆升���,企業(yè)中部署的安全工具數(shù)量也在隨之激增。如此多的工具也為企業(yè)安全分析師帶來了更多工作負擔——他們必須分散精力處理更多的監(jiān)控��、關聯(lián)以及警報響應工作�。分析師被迫疲于奔命在多個平臺之間,手動從每個源處收集數(shù)據(jù)�,然后豐富和關聯(lián)這些數(shù)據(jù)。面對有限的安全預算��,大多數(shù)安全團隊必須找到創(chuàng)新的方式,在不增加員工數(shù)量的情況下�,順利完成更多工作。此外���,經驗豐富的分析師之間的激烈競爭,往往也迫使企業(yè)在聘請一名高技能分析師����,還是多名初級分析師之間猶豫不決。
原因2:警報超載
近年來��,隨著網絡威脅場景的不斷演變��,企業(yè)部署的安全工具數(shù)量也在大幅增加����,以應對大量涌現(xiàn)的威脅。盡管來自這些工具的警報都是通過安全信息甚至管理系統(tǒng)進行集中管理和關聯(lián)的�����,但是面對如此龐大的警報數(shù)量�����,安全團隊還是吃不消。
對于分析師來說���,每條警報都必須進行手動驗證和分類�����。然后���,在確定警報有效后,還需要進行額外的人工研究和充實�����,之后才能采取適當?shù)拇胧﹣斫鉀Q潛在的威脅���。當這些手動過程正在進行時�,隊列中的其他警報將無法得到解決����,而且其他警報還將繼續(xù)進入。這些等待處理的警報中的任何一個����,都可能會為惡意行為者提供攻擊入口����,除非它們得到徹底解決����。
原因3:缺乏部落文化
培訓新的分析師需要耗費大量時間,尤其是當安全流程需要手動完成和異常復雜的時候��。對于大多數(shù)企業(yè)而言����,即便是有高度文件化的程序��,他們通常也習慣于依賴最資深的分析師�����,并根據(jù)他們的經驗和系統(tǒng)化知識做出決策 - 這通常被稱為“部落文化”�����。通常情況下����,安全流程越是手動和復雜,轉移部落文化所需的時間就越久。
高技能的分析師是非常寶貴的資源��。每當公司失去一名經驗豐富的人才時����,也就會隨著丟失一些部落文化 - 事件響應也就會自動受到影響。雖然公司努力保留至少一名能夠將部落文化轉移給新員工的經驗豐富的分析師�����,但他們并不總能如愿�����。
原因4:缺乏衡量���、管理流程
與其他業(yè)務部門(通常具有用于衡量計劃成敗的具體�����、經過驗證的流程)不同���,安全部門的指標通常是抽象和主觀意義上的。這是因為用于衡量投資回報的傳統(tǒng)方法不適用于安全項目����,并且可能導致不準確或誤導性的結果����。想要正確地測量安全程序的有效性和效率��,需要專門設計的衡量流程��,以滿足這些獨特的要求�����。
更復雜的是��,安全事件是動態(tài)事件���,通常涉及調查、遏制和緩解階段的許多活動環(huán)節(jié)�����。未能正確管理事件響應流程的每個步驟�,可能會導致組織的經濟損失和聲譽損害呈指數(shù)級增長。 為了最好地管理安全事件��,公司需要一個經過全面測試且所有利益相關方都能很好理解的文檔化、可重復的流程�。
想要更好地檢測、控制和解決上述問題�,組織應該考慮采取以下三點最佳實踐:
1. 技術編制(Orchestration)
將安全工具和數(shù)據(jù)源協(xié)調到一個無縫流程中,通常稱為“編制”��。技術集成是用于支持技術編制最常用的方法����。它有很多種實現(xiàn)方式,例如API���,軟件開發(fā)工具包以及直接數(shù)據(jù)庫連接����,它可用于集成端點檢測和響應���、網絡檢測和基礎架構�、威脅情報��、IT服務管理以及帳戶管理等技術�。
2. 自動化
雖然編制和自動化的概念密切相關,但它們的目標卻截然不同��。具體而言,編制旨在通過增加協(xié)調和減少安全工具之間的上下文切換來提高效率�,以支持更快、更明智的決策;而自動化則是旨在通過可重復的過程來減少這些過程的整體耗時��,并將機器學習應用于適當?shù)娜蝿?。通常來說,運用自動化技術可以提高編制技術����、流程和人員的效率。而成功實現(xiàn)自動化的關鍵是確定可預測�、可重復的流程,這些流程只需要最少的人為干預��。
3. 戰(zhàn)術和戰(zhàn)略衡量
支持戰(zhàn)術決策的信息通常針對分析師和管理者���,涉及事件數(shù)據(jù),其中可能包括妥協(xié)指標�����、相關事件�����、資產、流程狀態(tài)以及威脅情報�����。這種戰(zhàn)術信息可以幫助企業(yè)從事件的分類和調查過程中做出明智的決策�����。
另一方面�����,戰(zhàn)略信息通常針對管理者和高管人員�����,用于助其做出明智的高層決策�����。戰(zhàn)略信息可能包括事件趨勢和統(tǒng)計數(shù)據(jù)�、相關成本、威脅情報以及事件相關性等�����。更先進的安全計劃可能也會使用戰(zhàn)略信息來實現(xiàn)主動的威脅追蹤。
江蘇國駿信息科技有限公司在信息網絡安全���、運維平臺建設�、動漫設計�����、軟件研發(fā)����、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”��、“制度流程”����、“技術產品”三個視角提供全面、可信的方案���,業(yè)務涵蓋咨詢、評估�����、規(guī)劃、管控���、建設����、培訓等�。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。
