檢測入侵原因變得更加復雜

Foundry/CSO發(fā)布的2024年安全優(yōu)先級研究顯示，在過去12個月中，只有67%的安全主管了解其組織發(fā)生數(shù)據(jù)安全事件的具體原因。

這是多個因素共同作用的結(jié)果。

首先，識別入侵的發(fā)生本身就是一個重大挑戰(zhàn)。根據(jù)IBM的一份報告，企業(yè)平均需要207天才能發(fā)現(xiàn)入侵，還需要額外70天進行遏制。這意味著從最初入侵到完成根因分析可能需要長達9個月的時間，這給組織定位原因并從安全事件中吸取教訓帶來了巨大壓力。

許多入侵在發(fā)生很久后才被發(fā)現(xiàn)，這種延遲使得識別根本原因變得更加困難。隨著數(shù)據(jù)被修改、覆蓋和刪除，計算機取證能力會隨時間推移而減弱。

Spectrum Search的CTO Peter Wood表示："黑客總是在尋找新的方法融入常規(guī)網(wǎng)絡流量，因此即使是最好的檢測系統(tǒng)，最終也可能陷入與威脅永無止境的'打地鼠'游戲中。雖然系統(tǒng)可能會標記可疑的內(nèi)容，但要確定它究竟從何處開始則是另一回事。"

其次，當前攻擊手段日益復雜和隱蔽，發(fā)現(xiàn)安全事件并理解其起源變得越來越具有挑戰(zhàn)性。

SoSafe平臺CSO Andrew Rose表示："當今的攻擊通常由AI驅(qū)動，專為隱蔽性設計，這使得在入侵初期就發(fā)現(xiàn)漏洞變得極其困難。由于財務限制和網(wǎng)絡安全專業(yè)人才短缺，許多組織缺乏快速識別、調(diào)查和追蹤威脅的資源。"

Rapid7的SVP兼首席科學家Raj Samani表示，許多威脅組織都采取措施掩蓋其蹤跡，這無疑使任何調(diào)查都變得更具挑戰(zhàn)性。然而，他分析說，這通常只是識別入侵源頭如此困難的部分原因，因為雖然技術能夠輔助調(diào)查，但回溯審查此類事件所花費的時間往往要與解決下一個緊急問題，也就是讓環(huán)境重新運轉(zhuǎn)的需求形成競爭。

Immersive Labs技術產(chǎn)品管理總監(jiān)David Spencer補充說，攻擊者越來越多地竊取和使用合法用戶憑據(jù)來規(guī)避檢測，在系統(tǒng)間橫向移動，并融入常規(guī)網(wǎng)絡活動。他說："由于大多數(shù)攻擊都涉及從明文文件、密碼管理器或內(nèi)存轉(zhuǎn)儲中獲取憑據(jù)，這使得幾乎不可能區(qū)分攻擊者和受害者。這就像在不斷增長的針堆中尋找一根特定的針。"

網(wǎng)絡安全管理的6大漏洞

除了客觀上網(wǎng)絡攻擊手段日益復雜化、多樣化外，企業(yè)自身的信息安全管理存在的漏洞也是一個不容忽視的重要因素。大量企業(yè)對其遭遇的安全事件原因無從知曉，折射出當前企業(yè)信息安全管理中普遍存在的六大關鍵漏洞。

1.檢測監(jiān)控體系失效

查找入侵的根本原因依賴強大的監(jiān)控和取證能力。而當安全運營被外包時，這種情況越來越普遍，可能是外包機構(gòu)對業(yè)務不夠熟悉。

KnowBe4的CISO Brian Jack就指出，在他調(diào)查過的漏洞中，一些因素反復出現(xiàn)，并多次看到入侵長期未被發(fā)現(xiàn)的情況。這是因為SOC（安全運營中心）功能在很大程度上外包給了第三方，而該第三方未能及時通知客戶可疑事件。

他解釋說："第三方SOC往往缺乏知識而非技能，難以判斷某些觸發(fā)警報的事件是否值得調(diào)查。在SOC中，了解業(yè)務、人員構(gòu)成以及可能發(fā)生的組織變化非常重要。"

安全牛建議

優(yōu)化檢測監(jiān)控體系，建立混合安全運營模式：

• 將外包團隊與內(nèi)部安全團隊有機結(jié)合；
• 為外包安全團隊提供必要的業(yè)務培訓和場景演練；
• 定期評估和更新檢測規(guī)則，確保與業(yè)務發(fā)展同步；
• 建立清晰的溝通機制，確保外包團隊能夠及時上報可疑事件。

2.應急響應計劃規(guī)劃不力

制定清晰的事件響應計劃可以幫助組織做好調(diào)查和發(fā)現(xiàn)入侵根本原因的準備。

Daisy Corporate Services的安全策略顧問Paul McLatchie表示："網(wǎng)絡入侵已不再是'是否發(fā)生'的問題，而是'何時發(fā)生'的問題，這就是為什么組織必須制定并遵循事件響應計劃。"

網(wǎng)絡事件響應的重點在于快速識別組織內(nèi)的安全事件和突發(fā)事件，驗證其范圍和影響，并采取有效的緩解和補救措施。響應計劃還必須延伸到事后分析和經(jīng)驗教訓總結(jié)，以便識別入侵的根本原因并吸取教訓，防止類似事件再次發(fā)生。

理解入侵原因并防范未來問題非常重要，因為無法從事件中吸取教訓的組織很容易遭受進一步的入侵。

"計劃無效或步驟執(zhí)行不夠嚴格都會導致問題。組織往往會忽視事件響應計劃的最后階段，急于恢復運營。"McLatchie警告說："這會導致對入侵的根本原因分析不充分，在某些情況下，關鍵證據(jù)甚至會被無意中破壞。"

KnowBe4的Jack也認為，從長遠來看，全面分析非常有價值。他說："對盡可能多的資產(chǎn)保持日志可見性，并將這些日志保留足夠長的時間以確保調(diào)查覆蓋面。這可能代價高昂，但對于及早發(fā)現(xiàn)和完整調(diào)查關鍵入侵事件很重要。"

安全牛建議

完善應急響應機制：

• 制定詳細的應急響應預案，并定期進行演練和更新；
• 建立專門的取證團隊，確保關鍵證據(jù)得到妥善保存；
• 設置合理的恢復時間目標，平衡業(yè)務恢復和事件調(diào)查的需求；
• 強制執(zhí)行事后分析流程，確保每個事件都得到充分復盤。

3.預算投入失衡

安全預算捉襟見肘，使得許多企業(yè)無法投資那些能夠更輕松追蹤入侵源頭的資源。

Check Point Software公共部門負責人Graeme Stewart表示，人員配備有限和流程差距加劇了入侵檢測的挑戰(zhàn)。

他說："在預算緊張和人員壓力下，讓系統(tǒng)重新上線成為首要關注點。這通常意味著先滅火，然后清理后果，最后才去理解起因。"

預算有限往往導致人手不足、根因分析能力有限和取證能力不足。

OnSecurity的CEO兼聯(lián)合創(chuàng)始人、網(wǎng)絡安全專家Conor O'Neill表示，中小型企業(yè)在及時識別問題方面面臨特殊挑戰(zhàn)。

他說："小型企業(yè)比大型企業(yè)更容易受到網(wǎng)絡攻擊，這是因為預算有限、缺乏內(nèi)部安全職能部門，以及缺乏知道如何處理和預防數(shù)據(jù)泄露的訓練有素的員工，而這些都是識別數(shù)據(jù)泄露的關鍵。"

安全牛建議

合理分配安全預算：

• 采用分層投入策略，優(yōu)先保護核心資產(chǎn)；
• 引入安全投資回報率（ROSI）評估模型；
• 考慮使用托管安全服務（MSS），平衡成本和效果；
•  建立安全預算儲備機制，應對突發(fā)安全事件。

4.技術棧割裂失控

安全技術棧的復雜性也是一個日益嚴重的問題。

美國律師事務所Varghese Summersett的創(chuàng)始人兼管理合伙人Benson Varghese表示："許多公司使用多個系統(tǒng)、應用程序和工具，這些工具往往無法整合。"

當系統(tǒng)無法協(xié)同工作時，確定入侵發(fā)生的位置就變得很困難，這就像在缺失關鍵碎片的情況下試圖完成一個拼圖。

"我有客戶使用多種安全解決方案，其中一些已經(jīng)過時或無法相互通信。有的客戶被入侵幾個月都未發(fā)現(xiàn)，因為他們的監(jiān)控系統(tǒng)與安全基礎設施不匹配。"Varghese舉例說："當他們意識到發(fā)生了什么時，線索已經(jīng)涼了。"

許多企業(yè)背負著技術債務，依賴缺乏全面日志記錄功能的過時系統(tǒng)，這使得詳細追蹤和分析事件變得困難。

Logpoint的首席安全研究員Kennet Harps?e表示："主要問題之一在于檢測和監(jiān)控（失效），而日益復雜的安全技術棧更是雪上加霜。如果工具之間缺乏緊密集成，關鍵的入侵指標很容易被錯過或延遲發(fā)現(xiàn)，這讓安全團隊被海量數(shù)據(jù)淹沒。在這種情況下，有效信號往往淹沒在虛假警報的噪音中。"

倫敦城市大學高級應用分析師Ben Jarlett指出，安全信息和事件管理（SIEM）系統(tǒng)和擴展檢測響應（XDR）平臺可以提供幫助，但它們需要適當?shù)恼{(diào)優(yōu)、定期的更新和熟練的管理才能發(fā)揮作用。但是在許多情況下，企業(yè)要么未充分利用這些系統(tǒng)，要么面臨大量虛假警報的困擾，這會掩蓋真實的威脅并延遲根本原因的識別。

Trend Micro的SecOps和威脅情報負責人Lewis Duke認為，整合安全技術棧可以提供幫助。他說："當使用整合的、相關聯(lián)的工具來提供真實上下文并減少調(diào)查過程中的運營開銷時，組織的準備會更充分。這就是為什么我們看到行業(yè)正在向基于平臺的安全策略轉(zhuǎn)變。這種策略能實現(xiàn)更快速、更有效的事件響應（IR），同時在運營精簡技術棧所需的成本和技能方面也有明顯優(yōu)勢。"

安全牛建議

整合安全技術棧：

• 制定統(tǒng)一的安全架構(gòu)規(guī)劃，避免重復建設；
• 優(yōu)先選擇具有開放接口的安全產(chǎn)品，確保系統(tǒng)間互通；
• 建立統(tǒng)一的安全數(shù)據(jù)湖，實現(xiàn)數(shù)據(jù)的集中分析；
• 逐步淘汰過時系統(tǒng)，降低技術債務。

5.告警處理流程失效

安全監(jiān)控系統(tǒng)每天產(chǎn)生數(shù)百萬條告警，這讓SOC不堪重負，也使得隔離惡意行為變得更加困難。

許多安全系統(tǒng)產(chǎn)生的大量虛假警報造成了令人不堪重負的"信噪比"問題。Logpoint的Harps?e說："分析師經(jīng)常被告警淹沒，這使得隔離真實威脅并確定其根本原因成為一項艱巨的任務。"

為了應對這些挑戰(zhàn)，需要改進檢測工具的整合、更有效的告警優(yōu)先級排序，以及在戰(zhàn)略上強調(diào)維護對所有資產(chǎn)的全面可見性。

安全牛建議

提升告警質(zhì)量：

• 實施多層級的告警過濾機制；
• 利用AI技術進行告警關聯(lián)分析和自動化處理；
• 建立告警優(yōu)先級評估體系；
• 定期優(yōu)化告警規(guī)則，減少誤報率。

6.安全文化建設缺位

一些組織可能沒有將網(wǎng)絡安全作為企業(yè)文化的重要組成部分，這使得發(fā)現(xiàn)網(wǎng)絡安全事件根本原因變得極其困難。

倫敦城市大學的Jarlett表示："盡管認識到安全的重要性，許多公司主要關注合規(guī)性，投資網(wǎng)絡安全工具僅僅是為了滿足最低標準，而沒有培養(yǎng)主動的安全意識。"

Okta的EMEA區(qū)CSO Stephen McDermid認為，安全領導者需要帶頭打造開放和響應迅速的企業(yè)安全文化。

McDermid說："CSO的責任是鼓勵人們讓威脅變得可見并及時上報潛在風險。如果員工害怕提出問題并試圖獨自解決，這可能會延遲關鍵響應。"

安全牛建議

強化安全文化建設：

• 將安全意識培訓納入員工考核體系；
• 建立安全事件報告激勵機制；
• 定期舉辦安全知識分享會；
• 高管帶頭參與安全文化建設。