在最近發(fā)生的幾起網(wǎng)絡(luò)攻擊事故中，網(wǎng)絡(luò)犯罪分子幾是乎隨心所欲地滲透到企業(yè)網(wǎng)絡(luò)，這讓事件響應(yīng)團(tuán)隊(duì)的職責(zé)受到廣泛關(guān)注。但是，最新報(bào)告指出，安全團(tuán)隊(duì)在執(zhí)行有意義的事件響應(yīng)過程之前面臨著一些障礙。

Ponemon研究所最近調(diào)查了1000多名IT安全專業(yè)人士，調(diào)查內(nèi)容是他們所在企業(yè)的事件響應(yīng)做法。約三分之二的受訪者表示，由于惡意軟件、僵尸網(wǎng)絡(luò)和其他攻擊的普及，其公司正處于“不斷受攻擊”的狀態(tài)。更糟的是，這些受訪者被安全事件和事件數(shù)據(jù)“淹沒”，讓他們很難確定哪些事件需要深入調(diào)查，或者在很多情況下，哪些事件需要調(diào)查。

例如，61%的受訪者表示，端點(diǎn)安全產(chǎn)品帶來了太多警報(bào)。高達(dá)85%的受訪者還認(rèn)為他們的企業(yè)目前無法優(yōu)先排序安全事件。

贊助Ponemon報(bào)告的AccessData公司首席網(wǎng)絡(luò)安全戰(zhàn)略官Craig Carpenter認(rèn)為，超過一半的受訪者覺得調(diào)查安全事故需要太多時(shí)間，這并不奇怪。

Carpenter稱，他所知道的安全專業(yè)人員每天都會(huì)發(fā)現(xiàn)20到40個(gè)潛在安全事件，并且，從理論上說，每個(gè)事件都需要進(jìn)行調(diào)查。據(jù)Carpenter稱，“絕大多數(shù)”事件并不嚴(yán)重，通常涉及過時(shí)的密碼或未打補(bǔ)丁的應(yīng)用，而理想情況下，這些應(yīng)該由自動(dòng)化系統(tǒng)來處理。

他指出，由于沒有辦法來優(yōu)先排序事件，對(duì)于需要進(jìn)一步關(guān)注的事件，很多IT安全專業(yè)人員根本沒有時(shí)間來執(zhí)行耗時(shí)的事件調(diào)查過程，而這可能導(dǎo)致長(zhǎng)期攻擊保持?jǐn)?shù)周甚至數(shù)月不被發(fā)現(xiàn)，例如針對(duì)零售商N(yùn)eiman Marcus的攻擊。他們對(duì)這些事件采取的態(tài)度是，盡可能快地簡(jiǎn)單修復(fù)它們。

“很快地，他們會(huì)退出去，并說這個(gè)系統(tǒng)已經(jīng)被感染了，他們需要對(duì)它進(jìn)行重新鏡像，然后返回給用戶。你要知道，在進(jìn)行調(diào)查的整個(gè)期間，用戶都會(huì)說，‘我需要我的筆記本，請(qǐng)還給我，’”Carpenter說道，“他們甚至不會(huì)對(duì)事故進(jìn)行廣泛調(diào)查，出于這個(gè)原因，他們無法知道根本問題是什么。”

更令人擔(dān)憂的是，很多受訪者承認(rèn)，他們向自己的首席執(zhí)行官和其他高管提供的關(guān)于安全事故的回答是基于不完整甚至從未執(zhí)行過的事件響應(yīng)過程。只有三分之一的安全專業(yè)人員表示，他們只是告訴高管他們采取了行動(dòng)來解決問題，而另外19%只是基于事件的初步信息作出猜測(cè)。

Carpenter說道，對(duì)于安全專業(yè)人員而言，在事故后與高管的會(huì)議中，提供誤導(dǎo)性答案絕對(duì)是錯(cuò)誤的策略，盡管這種會(huì)議確實(shí)氣氛緊張。很多C級(jí)管理人員現(xiàn)在才學(xué)會(huì)在數(shù)據(jù)泄露事故或其他高知名度安全事件后應(yīng)該提出什么問題，這要?dú)w功于最近零售商Target和軟件巨頭Adobe的高知名度攻擊事件。

“你可能不完全知道發(fā)生了什么，或者攻擊是否已經(jīng)完全被阻止，”Carpenter表示，“這也是我們對(duì)高管提出要求的最佳時(shí)期，我們可以說，‘這就是我們正在做的事情，順便說一下，為了讓我們可以真正阻止這個(gè)攻擊，以及保護(hù)業(yè)務(wù)，我們需要目前還沒有的X、Y和Z等功能。’”