2019年威脅檢測狀況
最近的數據泄露或勒索軟件時間的標題占據了新聞主導地位。隨著各種威脅的迅速發展和擴散,這類頭條新聞已經成為我們的現狀。為了保持領先于最新威脅,組織需要一種強大的安全態勢,使其能夠在威脅之前發展。為了找出組織與整體安全之間目前存在的挑戰,調查了全球數百名安全專業人員并匯總了結果。
自動化和可視性是主要的挑戰
我們發現,各組織目前面臨的主要挑戰是缺乏自動化,緊隨其后的是缺乏可見性。整體網絡防御在很大程度上依賴于在整個網絡地形中建立可見性。然而,我們的調查發現,33%的受訪者缺乏整個地形的可見度,另有16%的受訪者不知道他們目前的可見度。這意味著我們大約一半的受訪者(49%)無法理解他們組織的風險,因為您無法捍衛您不知道和無法察覺的內容。事實上,只有12%的人強烈同意他們擁有完整的地形能見度。組織本質上面臨更高級別的風險水平,并面臨著敵人潛伏在他們的網絡中而不被發現的可能性增加。
與此同時,許多組織的可利用攻擊面正在擴大。當被問及在過去一年里,他們的網絡領域是否有所擴張時,69%的受訪者表示網絡擴張了。促成這種地形增長的主要原因是更多的云應用程序、更高水平的網絡流量和更多的端點。BYOD設備,企業物聯網以及兼并和收購也被稱為地形增長的促成因素。與此同時,遺留系統和云應用程序被視為實現可見性的主要障礙。
不斷增長的安全堆棧未能提供結果
隨著時間的推移出現了新的威脅,許多組織購買了不同的網絡安全產品來解決這問題,通常來自不同的供應商,作為其總體安全基礎設施的一部分。這種策略導致重復功能,缺乏互操作性并進一步降低可見性,所有這些都增加了復雜性,而沒有提供任何額外的安全性好處。
這可以通過極少數組織使用其完整安全堆棧來充分發揮其功能來證明。在我們的調查中,61.5%的參與者告訴我們,他們沒有使用一半或更多的安全堆棧來滿足其全部功能,只有6.5%的人認為他們正在使用他們的完整堆棧來完成其全部功能。這也為我們提供了一個暗示,為什么缺乏自動化被列為目前組織面臨的頭號網絡安全挑戰。由于安全堆棧中的這些低效率,每個產品都會產生警報,通常是以人類無法跟上的速度發生的。因此,只有一小部分警報被調查,分析師很快就會因為無法管理的大量警報而受到騷擾。最終,這使得對手可以長時間不被發現,更容易逍遙法外,并降低了攻擊的總體成本。
通過在一個合作的網絡安全框架內進行整合,允許單個管理平臺在整個分布式網絡中監控,管理和編排解決方案。集成平臺可以自動處理和分析來自多個來源的威脅信息,并可以快速識別和緩解網絡安全威脅。可以自動識別,隔離和分析可疑文件。所有這一切,如果手動完成,都是非常耗費人力和時間的。通過縮減不必要的冗余安全設備并集成統一系統中的內容,組織可以使其網絡安全解決方案比以往更加有效。
威脅情報和威脅狩獵仍未得到充分利用
簡化安全堆棧是減少攻擊者停留時間和加強防御的重要一步。但是,這是幾個步驟之一。為了更積極地為現代對手做準備,組織還需要增加對威脅搜尋和威脅情報能力的關注和投資。威脅狩獵對于當今的組織來說是必不可少的,允許分析師尋找未知的威脅。但是,我們的調查發現,只有46%的組織目前能夠利用量身定制的威脅情報和威脅搜尋活動。
有效的威脅情報需要能夠為安全團隊提供正確的指示和警告,以及提供信息和塑造網絡防御的能力。不幸的是,大約三分之一的具有威脅情報的組織對威脅情報來源產生的對策信心不大或完全沒有信心。這表明組織不僅需要威脅情報,還需要專門針對其組織的安全架構和威脅環境量身定制威脅情報。
為了有效地進行威脅搜索,組織需要正確的工具,最重要的是需要正確的數據。自動化可以幫助完成大部分基礎工作,從網絡傳感器,端點和云環境收集豐富的源數據,并進行跨會話分析以及多方面和惡意軟件行為分析。這些對于破壞后檢測和未知的威脅搜索至關重要。然而,許多組織缺乏這一點,大約41%的受訪者表示他們目前沒有定制的威脅情報,但希望如此。
盡管自動化和機器輔助對于為捕獲提供所需信息和背景是必不可少的,但有效性最終將取決于分析師進行捕獲所擁有的時間和技能。這是因為威脅捕獲是一項人力密集的勞動密集型活動。當前沒有威脅追捕的組織被問及為什么時,絕大多數人都指出缺乏時間(49%)和技能(41%)。只有9%的組織回應稱他們不認為有必要進行威脅搜尋。
結論
這些挑戰的結合——缺乏自動化、缺乏可見性、無法管理的安全堆棧、缺乏定制的威脅情報、以及缺乏進行威脅搜尋的時間或技能。意味著安全團隊往往負擔過重,無法應對現在威脅的現實。
組織無法阻止他們的地形增長,但他們可以控制他們為安全堆棧添加的內容,以應對負擔過重的安全團隊。為此,組織應該針對基于風險的框架評估其安全堆棧功能,以確定他們需要哪些功能以及哪些功能是多余的。這將有助于他們控制他們的架構并建立更完整的可見性水平,從而有助于威脅情報和威脅搜尋活動。
