事件響應(yīng)失敗的4大原因剖析
2018年08月16日
網(wǎng)絡(luò)安全威脅場景正在加速演變�����,各行各業(yè)���、各種規(guī)模的企業(yè)都深受困擾�。事實證明�,僅在2018年,各種類型的企業(yè)——包括Best Buy�����、Delta�、Orbitz、Panera�����、Saks Fifth Avenue以及Sears等——都已經(jīng)淪為網(wǎng)絡(luò)威脅的受害者����。
如今���,威脅范圍和復(fù)雜程度不斷提高,加之新型智能技術(shù)的普及應(yīng)用�����,使得那些利用物聯(lián)網(wǎng)技術(shù)進行的惡意攻擊����,大大增加了安全人員的響應(yīng)難度。通常情況下�����,這些新型技術(shù)都沒有針對其自身存在的安全漏洞進行全面檢測�����,一旦企業(yè)啟用這些技術(shù)��,就等于同時接收了這些漏洞���,從而為企業(yè)捍衛(wèi)和保護其網(wǎng)絡(luò)及資產(chǎn)增加了難以防御的挑戰(zhàn)���。
如今�����,企業(yè)漸漸發(fā)覺,不僅是防御工作越來越難開展�����,就連事件響應(yīng)工作也經(jīng)常失敗�。
接下來,就為大家總結(jié)一下企業(yè)難以檢測���、控制并修復(fù)威脅的4大主要原因:
原因1:資源不足
隨著過去十年威脅數(shù)量和復(fù)雜程度的日益飆升�����,企業(yè)中部署的安全工具數(shù)量也在隨之激增����。如此多的工具也為企業(yè)安全分析師帶來了更多工作負(fù)擔(dān)——他們必須分散精力處理更多的監(jiān)控�、關(guān)聯(lián)以及警報響應(yīng)工作。分析師被迫疲于奔命在多個平臺之間�,手動從每個源處收集數(shù)據(jù)����,然后豐富和關(guān)聯(lián)這些數(shù)據(jù)�。面對有限的安全預(yù)算,大多數(shù)安全團隊必須找到創(chuàng)新的方式��,在不增加員工數(shù)量的情況下��,順利完成更多工作���。此外��,經(jīng)驗豐富的分析師之間的激烈競爭�����,往往也迫使企業(yè)在聘請一名高技能分析師�����,還是多名初級分析師之間猶豫不決��。
原因2:警報超載
近年來�,隨著網(wǎng)絡(luò)威脅場景的不斷演變,企業(yè)部署的安全工具數(shù)量也在大幅增加�����,以應(yīng)對大量涌現(xiàn)的威脅�����。盡管來自這些工具的警報都是通過安全信息甚至管理系統(tǒng)進行集中管理和關(guān)聯(lián)的�����,但是面對如此龐大的警報數(shù)量�,安全團隊還是吃不消�。
對于分析師來說,每條警報都必須進行手動驗證和分類����。然后,在確定警報有效后�,還需要進行額外的人工研究和充實,之后才能采取適當(dāng)?shù)拇胧﹣斫鉀Q潛在的威脅���。當(dāng)這些手動過程正在進行時�,隊列中的其他警報將無法得到解決,而且其他警報還將繼續(xù)進入�。這些等待處理的警報中的任何一個,都可能會為惡意行為者提供攻擊入口���,除非它們得到徹底解決����。
原因3:缺乏部落文化
培訓(xùn)新的分析師需要耗費大量時間�,尤其是當(dāng)安全流程需要手動完成和異常復(fù)雜的時候。對于大多數(shù)企業(yè)而言�����,即便是有高度文件化的程序�����,他們通常也習(xí)慣于依賴最資深的分析師�,并根據(jù)他們的經(jīng)驗和系統(tǒng)化知識做出決策 - 這通常被稱為“部落文化”。通常情況下��,安全流程越是手動和復(fù)雜���,轉(zhuǎn)移部落文化所需的時間就越久�����。
高技能的分析師是非常寶貴的資源���。每當(dāng)公司失去一名經(jīng)驗豐富的人才時����,也就會隨著丟失一些部落文化 - 事件響應(yīng)也就會自動受到影響����。雖然公司努力保留至少一名能夠?qū)⒉柯湮幕D(zhuǎn)移給新員工的經(jīng)驗豐富的分析師,但他們并不總能如愿�。
原因4:缺乏衡量��、管理流程
與其他業(yè)務(wù)部門(通常具有用于衡量計劃成敗的具體��、經(jīng)過驗證的流程)不同����,安全部門的指標(biāo)通常是抽象和主觀意義上的。這是因為用于衡量投資回報的傳統(tǒng)方法不適用于安全項目��,并且可能導(dǎo)致不準(zhǔn)確或誤導(dǎo)性的結(jié)果�。想要正確地測量安全程序的有效性和效率,需要專門設(shè)計的衡量流程,以滿足這些獨特的要求����。
更復(fù)雜的是,安全事件是動態(tài)事件�,通常涉及調(diào)查、遏制和緩解階段的許多活動環(huán)節(jié)���。未能正確管理事件響應(yīng)流程的每個步驟���,可能會導(dǎo)致組織的經(jīng)濟損失和聲譽損害呈指數(shù)級增長。 為了最好地管理安全事件�,公司需要一個經(jīng)過全面測試且所有利益相關(guān)方都能很好理解的文檔化、可重復(fù)的流程����。
想要更好地檢測、控制和解決上述問題�����,組織應(yīng)該考慮采取以下三點最佳實踐:
1. 技術(shù)編制(Orchestration)
將安全工具和數(shù)據(jù)源協(xié)調(diào)到一個無縫流程中�����,通常稱為“編制”。技術(shù)集成是用于支持技術(shù)編制最常用的方法�����。它有很多種實現(xiàn)方式���,例如API��,軟件開發(fā)工具包以及直接數(shù)據(jù)庫連接��,它可用于集成端點檢測和響應(yīng)��、網(wǎng)絡(luò)檢測和基礎(chǔ)架構(gòu)�、威脅情報����、IT服務(wù)管理以及帳戶管理等技術(shù)���。
2. 自動化
雖然編制和自動化的概念密切相關(guān)����,但它們的目標(biāo)卻截然不同��。具體而言,編制旨在通過增加協(xié)調(diào)和減少安全工具之間的上下文切換來提高效率�,以支持更快、更明智的決策;而自動化則是旨在通過可重復(fù)的過程來減少這些過程的整體耗時����,并將機器學(xué)習(xí)應(yīng)用于適當(dāng)?shù)娜蝿?wù)。通常來說����,運用自動化技術(shù)可以提高編制技術(shù)、流程和人員的效率�����。而成功實現(xiàn)自動化的關(guān)鍵是確定可預(yù)測�、可重復(fù)的流程,這些流程只需要最少的人為干預(yù)���。
3. 戰(zhàn)術(shù)和戰(zhàn)略衡量
支持戰(zhàn)術(shù)決策的信息通常針對分析師和管理者���,涉及事件數(shù)據(jù),其中可能包括妥協(xié)指標(biāo)���、相關(guān)事件���、資產(chǎn)����、流程狀態(tài)以及威脅情報���。這種戰(zhàn)術(shù)信息可以幫助企業(yè)從事件的分類和調(diào)查過程中做出明智的決策����。
另一方面����,戰(zhàn)略信息通常針對管理者和高管人員,用于助其做出明智的高層決策�。戰(zhàn)略信息可能包括事件趨勢和統(tǒng)計數(shù)據(jù)、相關(guān)成本��、威脅情報以及事件相關(guān)性等��。更先進的安全計劃可能也會使用戰(zhàn)略信息來實現(xiàn)主動的威脅追蹤���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)�����、動漫設(shè)計、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型�,從“人員素養(yǎng)”、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評估�����、規(guī)劃�����、管控、建設(shè)�、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
