事件響應(yīng)失敗的4大原因剖析
2018年08月16日
網(wǎng)絡(luò)安全威脅場(chǎng)景正在加速演變�����,各行各業(yè)���、各種規(guī)模的企業(yè)都深受困擾。事實(shí)證明���,僅在2018年��,各種類型的企業(yè)——包括Best Buy�����、Delta�����、Orbitz����、Panera、Saks Fifth Avenue以及Sears等——都已經(jīng)淪為網(wǎng)絡(luò)威脅的受害者���。
如今����,威脅范圍和復(fù)雜程度不斷提高���,加之新型智能技術(shù)的普及應(yīng)用�����,使得那些利用物聯(lián)網(wǎng)技術(shù)進(jìn)行的惡意攻擊�,大大增加了安全人員的響應(yīng)難度���。通常情況下����,這些新型技術(shù)都沒有針對(duì)其自身存在的安全漏洞進(jìn)行全面檢測(cè)�����,一旦企業(yè)啟用這些技術(shù)���,就等于同時(shí)接收了這些漏洞����,從而為企業(yè)捍衛(wèi)和保護(hù)其網(wǎng)絡(luò)及資產(chǎn)增加了難以防御的挑戰(zhàn)。
如今�����,企業(yè)漸漸發(fā)覺�����,不僅是防御工作越來(lái)越難開展�����,就連事件響應(yīng)工作也經(jīng)常失敗��。
接下來(lái)���,就為大家總結(jié)一下企業(yè)難以檢測(cè)、控制并修復(fù)威脅的4大主要原因:
原因1:資源不足
隨著過去十年威脅數(shù)量和復(fù)雜程度的日益飆升����,企業(yè)中部署的安全工具數(shù)量也在隨之激增�。如此多的工具也為企業(yè)安全分析師帶來(lái)了更多工作負(fù)擔(dān)——他們必須分散精力處理更多的監(jiān)控����、關(guān)聯(lián)以及警報(bào)響應(yīng)工作。分析師被迫疲于奔命在多個(gè)平臺(tái)之間�,手動(dòng)從每個(gè)源處收集數(shù)據(jù),然后豐富和關(guān)聯(lián)這些數(shù)據(jù)��。面對(duì)有限的安全預(yù)算�,大多數(shù)安全團(tuán)隊(duì)必須找到創(chuàng)新的方式,在不增加員工數(shù)量的情況下��,順利完成更多工作�。此外,經(jīng)驗(yàn)豐富的分析師之間的激烈競(jìng)爭(zhēng)�����,往往也迫使企業(yè)在聘請(qǐng)一名高技能分析師��,還是多名初級(jí)分析師之間猶豫不決����。
原因2:警報(bào)超載
近年來(lái),隨著網(wǎng)絡(luò)威脅場(chǎng)景的不斷演變���,企業(yè)部署的安全工具數(shù)量也在大幅增加���,以應(yīng)對(duì)大量涌現(xiàn)的威脅���。盡管來(lái)自這些工具的警報(bào)都是通過安全信息甚至管理系統(tǒng)進(jìn)行集中管理和關(guān)聯(lián)的,但是面對(duì)如此龐大的警報(bào)數(shù)量���,安全團(tuán)隊(duì)還是吃不消�����。
對(duì)于分析師來(lái)說(shuō)���,每條警報(bào)都必須進(jìn)行手動(dòng)驗(yàn)證和分類�。然后,在確定警報(bào)有效后����,還需要進(jìn)行額外的人工研究和充實(shí),之后才能采取適當(dāng)?shù)拇胧﹣?lái)解決潛在的威脅����。當(dāng)這些手動(dòng)過程正在進(jìn)行時(shí)����,隊(duì)列中的其他警報(bào)將無(wú)法得到解決����,而且其他警報(bào)還將繼續(xù)進(jìn)入。這些等待處理的警報(bào)中的任何一個(gè)��,都可能會(huì)為惡意行為者提供攻擊入口��,除非它們得到徹底解決�����。
原因3:缺乏部落文化
培訓(xùn)新的分析師需要耗費(fèi)大量時(shí)間�,尤其是當(dāng)安全流程需要手動(dòng)完成和異常復(fù)雜的時(shí)候。對(duì)于大多數(shù)企業(yè)而言�,即便是有高度文件化的程序,他們通常也習(xí)慣于依賴最資深的分析師���,并根據(jù)他們的經(jīng)驗(yàn)和系統(tǒng)化知識(shí)做出決策 - 這通常被稱為“部落文化”����。通常情況下,安全流程越是手動(dòng)和復(fù)雜���,轉(zhuǎn)移部落文化所需的時(shí)間就越久��。
高技能的分析師是非常寶貴的資源�����。每當(dāng)公司失去一名經(jīng)驗(yàn)豐富的人才時(shí)����,也就會(huì)隨著丟失一些部落文化 - 事件響應(yīng)也就會(huì)自動(dòng)受到影響����。雖然公司努力保留至少一名能夠?qū)⒉柯湮幕D(zhuǎn)移給新員工的經(jīng)驗(yàn)豐富的分析師,但他們并不總能如愿���。
原因4:缺乏衡量�����、管理流程
與其他業(yè)務(wù)部門(通常具有用于衡量計(jì)劃成敗的具體、經(jīng)過驗(yàn)證的流程)不同����,安全部門的指標(biāo)通常是抽象和主觀意義上的����。這是因?yàn)橛糜诤饬客顿Y回報(bào)的傳統(tǒng)方法不適用于安全項(xiàng)目�����,并且可能導(dǎo)致不準(zhǔn)確或誤導(dǎo)性的結(jié)果��。想要正確地測(cè)量安全程序的有效性和效率����,需要專門設(shè)計(jì)的衡量流程,以滿足這些獨(dú)特的要求��。
更復(fù)雜的是�,安全事件是動(dòng)態(tài)事件,通常涉及調(diào)查�����、遏制和緩解階段的許多活動(dòng)環(huán)節(jié)�。未能正確管理事件響應(yīng)流程的每個(gè)步驟,可能會(huì)導(dǎo)致組織的經(jīng)濟(jì)損失和聲譽(yù)損害呈指數(shù)級(jí)增長(zhǎng)�����。 為了最好地管理安全事件,公司需要一個(gè)經(jīng)過全面測(cè)試且所有利益相關(guān)方都能很好理解的文檔化��、可重復(fù)的流程���。
想要更好地檢測(cè)���、控制和解決上述問題,組織應(yīng)該考慮采取以下三點(diǎn)最佳實(shí)踐:
1. 技術(shù)編制(Orchestration)
將安全工具和數(shù)據(jù)源協(xié)調(diào)到一個(gè)無(wú)縫流程中�����,通常稱為“編制”�����。技術(shù)集成是用于支持技術(shù)編制最常用的方法��。它有很多種實(shí)現(xiàn)方式����,例如API,軟件開發(fā)工具包以及直接數(shù)據(jù)庫(kù)連接�,它可用于集成端點(diǎn)檢測(cè)和響應(yīng)、網(wǎng)絡(luò)檢測(cè)和基礎(chǔ)架構(gòu)���、威脅情報(bào)�����、IT服務(wù)管理以及帳戶管理等技術(shù)�。
2. 自動(dòng)化
雖然編制和自動(dòng)化的概念密切相關(guān)����,但它們的目標(biāo)卻截然不同。具體而言�,編制旨在通過增加協(xié)調(diào)和減少安全工具之間的上下文切換來(lái)提高效率,以支持更快����、更明智的決策;而自動(dòng)化則是旨在通過可重復(fù)的過程來(lái)減少這些過程的整體耗時(shí),并將機(jī)器學(xué)習(xí)應(yīng)用于適當(dāng)?shù)娜蝿?wù)����。通常來(lái)說(shuō),運(yùn)用自動(dòng)化技術(shù)可以提高編制技術(shù)�、流程和人員的效率。而成功實(shí)現(xiàn)自動(dòng)化的關(guān)鍵是確定可預(yù)測(cè)�、可重復(fù)的流程��,這些流程只需要最少的人為干預(yù)��。
3. 戰(zhàn)術(shù)和戰(zhàn)略衡量
支持戰(zhàn)術(shù)決策的信息通常針對(duì)分析師和管理者����,涉及事件數(shù)據(jù)���,其中可能包括妥協(xié)指標(biāo)�、相關(guān)事件���、資產(chǎn)����、流程狀態(tài)以及威脅情報(bào)��。這種戰(zhàn)術(shù)信息可以幫助企業(yè)從事件的分類和調(diào)查過程中做出明智的決策����。
另一方面,戰(zhàn)略信息通常針對(duì)管理者和高管人員����,用于助其做出明智的高層決策���。戰(zhàn)略信息可能包括事件趨勢(shì)和統(tǒng)計(jì)數(shù)據(jù)、相關(guān)成本�、威脅情報(bào)以及事件相關(guān)性等�����。更先進(jìn)的安全計(jì)劃可能也會(huì)使用戰(zhàn)略信息來(lái)實(shí)現(xiàn)主動(dòng)的威脅追蹤���。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�����、“制度流程”�、“技術(shù)產(chǎn)品”三個(gè)視角提供全面��、可信的方案�,業(yè)務(wù)涵蓋咨詢��、評(píng)估�����、規(guī)劃�����、管控�、建設(shè)、培訓(xùn)等����。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
