事件響應失敗的4大原因剖析
在遏制安全漏洞的業務影響時,正確的規劃通常是決定成敗的關鍵因素。
網絡安全威脅場景正在加速演變,各行各業、各種規模的企業都深受困擾。事實證明,僅在2018年,各種類型的企業——包括Best Buy、Delta、Orbitz、Panera、Saks Fifth Avenue以及Sears等——都已經淪為網絡威脅的受害者。
如今,威脅范圍和復雜程度不斷提高,加之新型智能技術的普及應用,使得那些利用物聯網技術進行的惡意攻擊,大大增加了安全人員的響應難度。通常情況下,這些新型技術都沒有針對其自身存在的安全漏洞進行全面檢測,一旦企業啟用這些技術,就等于同時接收了這些漏洞,從而為企業捍衛和保護其網絡及資產增加了難以防御的挑戰。
如今,企業漸漸發覺,不僅是防御工作越來越難開展,就連事件響應工作也經常失敗。
接下來,就為大家總結一下企業難以檢測、控制并修復威脅的4大主要原因:
原因1:資源不足
隨著過去十年威脅數量和復雜程度的日益飆升,企業中部署的安全工具數量也在隨之激增。如此多的工具也為企業安全分析師帶來了更多工作負擔——他們必須分散精力處理更多的監控、關聯以及警報響應工作。分析師被迫疲于奔命在多個平臺之間,手動從每個源處收集數據,然后豐富和關聯這些數據。面對有限的安全預算,大多數安全團隊必須找到創新的方式,在不增加員工數量的情況下,順利完成更多工作。此外,經驗豐富的分析師之間的激烈競爭,往往也迫使企業在聘請一名高技能分析師,還是多名初級分析師之間猶豫不決。
原因2:警報超載
近年來,隨著網絡威脅場景的不斷演變,企業部署的安全工具數量也在大幅增加,以應對大量涌現的威脅。盡管來自這些工具的警報都是通過安全信息甚至管理系統進行集中管理和關聯的,但是面對如此龐大的警報數量,安全團隊還是吃不消。
對于分析師來說,每條警報都必須進行手動驗證和分類。然后,在確定警報有效后,還需要進行額外的人工研究和充實,之后才能采取適當的措施來解決潛在的威脅。當這些手動過程正在進行時,隊列中的其他警報將無法得到解決,而且其他警報還將繼續進入。這些等待處理的警報中的任何一個,都可能會為惡意行為者提供攻擊入口,除非它們得到徹底解決。
原因3:缺乏部落文化
培訓新的分析師需要耗費大量時間,尤其是當安全流程需要手動完成和異常復雜的時候。對于大多數企業而言,即便是有高度文件化的程序,他們通常也習慣于依賴最資深的分析師,并根據他們的經驗和系統化知識做出決策 - 這通常被稱為“部落文化”。通常情況下,安全流程越是手動和復雜,轉移部落文化所需的時間就越久。
高技能的分析師是非常寶貴的資源。每當公司失去一名經驗豐富的人才時,也就會隨著丟失一些部落文化 - 事件響應也就會自動受到影響。雖然公司努力保留至少一名能夠將部落文化轉移給新員工的經驗豐富的分析師,但他們并不總能如愿。
原因4:缺乏衡量、管理流程
與其他業務部門(通常具有用于衡量計劃成敗的具體、經過驗證的流程)不同,安全部門的指標通常是抽象和主觀意義上的。這是因為用于衡量投資回報的傳統方法不適用于安全項目,并且可能導致不準確或誤導性的結果。想要正確地測量安全程序的有效性和效率,需要專門設計的衡量流程,以滿足這些獨特的要求。
更復雜的是,安全事件是動態事件,通常涉及調查、遏制和緩解階段的許多活動環節。未能正確管理事件響應流程的每個步驟,可能會導致組織的經濟損失和聲譽損害呈指數級增長。 為了最好地管理安全事件,公司需要一個經過全面測試且所有利益相關方都能很好理解的文檔化、可重復的流程。
想要更好地檢測、控制和解決上述問題,組織應該考慮采取以下三點最佳實踐:
1. 技術編制(Orchestration)
將安全工具和數據源協調到一個無縫流程中,通常稱為“編制”。技術集成是用于支持技術編制最常用的方法。它有很多種實現方式,例如API,軟件開發工具包以及直接數據庫連接,它可用于集成端點檢測和響應、網絡檢測和基礎架構、威脅情報、IT服務管理以及帳戶管理等技術。
2. 自動化
雖然編制和自動化的概念密切相關,但它們的目標卻截然不同。具體而言,編制旨在通過增加協調和減少安全工具之間的上下文切換來提高效率,以支持更快、更明智的決策;而自動化則是旨在通過可重復的過程來減少這些過程的整體耗時,并將機器學習應用于適當的任務。通常來說,運用自動化技術可以提高編制技術、流程和人員的效率。而成功實現自動化的關鍵是確定可預測、可重復的流程,這些流程只需要最少的人為干預。
3. 戰術和戰略衡量
支持戰術決策的信息通常針對分析師和管理者,涉及事件數據,其中可能包括妥協指標、相關事件、資產、流程狀態以及威脅情報。這種戰術信息可以幫助企業從事件的分類和調查過程中做出明智的決策。
另一方面,戰略信息通常針對管理者和高管人員,用于助其做出明智的高層決策。戰略信息可能包括事件趨勢和統計數據、相關成本、威脅情報以及事件相關性等。更先進的安全計劃可能也會使用戰略信息來實現主動的威脅追蹤。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
