事件響應(yīng)失敗的4大原因剖析
在遏制安全漏洞的業(yè)務(wù)影響時(shí),正確的規(guī)劃通常是決定成敗的關(guān)鍵因素。
網(wǎng)絡(luò)安全威脅場(chǎng)景正在加速演變,各行各業(yè)、各種規(guī)模的企業(yè)都深受困擾。事實(shí)證明,僅在2018年,各種類型的企業(yè)——包括Best Buy、Delta、Orbitz、Panera、Saks Fifth Avenue以及Sears等——都已經(jīng)淪為網(wǎng)絡(luò)威脅的受害者。
如今,威脅范圍和復(fù)雜程度不斷提高,加之新型智能技術(shù)的普及應(yīng)用,使得那些利用物聯(lián)網(wǎng)技術(shù)進(jìn)行的惡意攻擊,大大增加了安全人員的響應(yīng)難度。通常情況下,這些新型技術(shù)都沒有針對(duì)其自身存在的安全漏洞進(jìn)行全面檢測(cè),一旦企業(yè)啟用這些技術(shù),就等于同時(shí)接收了這些漏洞,從而為企業(yè)捍衛(wèi)和保護(hù)其網(wǎng)絡(luò)及資產(chǎn)增加了難以防御的挑戰(zhàn)。
如今,企業(yè)漸漸發(fā)覺,不僅是防御工作越來越難開展,就連事件響應(yīng)工作也經(jīng)常失敗。
接下來,就為大家總結(jié)一下企業(yè)難以檢測(cè)、控制并修復(fù)威脅的4大主要原因:
原因1:資源不足
隨著過去十年威脅數(shù)量和復(fù)雜程度的日益飆升,企業(yè)中部署的安全工具數(shù)量也在隨之激增。如此多的工具也為企業(yè)安全分析師帶來了更多工作負(fù)擔(dān)——他們必須分散精力處理更多的監(jiān)控、關(guān)聯(lián)以及警報(bào)響應(yīng)工作。分析師被迫疲于奔命在多個(gè)平臺(tái)之間,手動(dòng)從每個(gè)源處收集數(shù)據(jù),然后豐富和關(guān)聯(lián)這些數(shù)據(jù)。面對(duì)有限的安全預(yù)算,大多數(shù)安全團(tuán)隊(duì)必須找到創(chuàng)新的方式,在不增加員工數(shù)量的情況下,順利完成更多工作。此外,經(jīng)驗(yàn)豐富的分析師之間的激烈競(jìng)爭(zhēng),往往也迫使企業(yè)在聘請(qǐng)一名高技能分析師,還是多名初級(jí)分析師之間猶豫不決。
原因2:警報(bào)超載
近年來,隨著網(wǎng)絡(luò)威脅場(chǎng)景的不斷演變,企業(yè)部署的安全工具數(shù)量也在大幅增加,以應(yīng)對(duì)大量涌現(xiàn)的威脅。盡管來自這些工具的警報(bào)都是通過安全信息甚至管理系統(tǒng)進(jìn)行集中管理和關(guān)聯(lián)的,但是面對(duì)如此龐大的警報(bào)數(shù)量,安全團(tuán)隊(duì)還是吃不消。
對(duì)于分析師來說,每條警報(bào)都必須進(jìn)行手動(dòng)驗(yàn)證和分類。然后,在確定警報(bào)有效后,還需要進(jìn)行額外的人工研究和充實(shí),之后才能采取適當(dāng)?shù)拇胧﹣斫鉀Q潛在的威脅。當(dāng)這些手動(dòng)過程正在進(jìn)行時(shí),隊(duì)列中的其他警報(bào)將無法得到解決,而且其他警報(bào)還將繼續(xù)進(jìn)入。這些等待處理的警報(bào)中的任何一個(gè),都可能會(huì)為惡意行為者提供攻擊入口,除非它們得到徹底解決。
原因3:缺乏部落文化
培訓(xùn)新的分析師需要耗費(fèi)大量時(shí)間,尤其是當(dāng)安全流程需要手動(dòng)完成和異常復(fù)雜的時(shí)候。對(duì)于大多數(shù)企業(yè)而言,即便是有高度文件化的程序,他們通常也習(xí)慣于依賴最資深的分析師,并根據(jù)他們的經(jīng)驗(yàn)和系統(tǒng)化知識(shí)做出決策 - 這通常被稱為“部落文化”。通常情況下,安全流程越是手動(dòng)和復(fù)雜,轉(zhuǎn)移部落文化所需的時(shí)間就越久。
高技能的分析師是非常寶貴的資源。每當(dāng)公司失去一名經(jīng)驗(yàn)豐富的人才時(shí),也就會(huì)隨著丟失一些部落文化 - 事件響應(yīng)也就會(huì)自動(dòng)受到影響。雖然公司努力保留至少一名能夠?qū)⒉柯湮幕D(zhuǎn)移給新員工的經(jīng)驗(yàn)豐富的分析師,但他們并不總能如愿。
原因4:缺乏衡量、管理流程
與其他業(yè)務(wù)部門(通常具有用于衡量計(jì)劃成敗的具體、經(jīng)過驗(yàn)證的流程)不同,安全部門的指標(biāo)通常是抽象和主觀意義上的。這是因?yàn)橛糜诤饬客顿Y回報(bào)的傳統(tǒng)方法不適用于安全項(xiàng)目,并且可能導(dǎo)致不準(zhǔn)確或誤導(dǎo)性的結(jié)果。想要正確地測(cè)量安全程序的有效性和效率,需要專門設(shè)計(jì)的衡量流程,以滿足這些獨(dú)特的要求。
更復(fù)雜的是,安全事件是動(dòng)態(tài)事件,通常涉及調(diào)查、遏制和緩解階段的許多活動(dòng)環(huán)節(jié)。未能正確管理事件響應(yīng)流程的每個(gè)步驟,可能會(huì)導(dǎo)致組織的經(jīng)濟(jì)損失和聲譽(yù)損害呈指數(shù)級(jí)增長(zhǎng)。 為了最好地管理安全事件,公司需要一個(gè)經(jīng)過全面測(cè)試且所有利益相關(guān)方都能很好理解的文檔化、可重復(fù)的流程。
想要更好地檢測(cè)、控制和解決上述問題,組織應(yīng)該考慮采取以下三點(diǎn)最佳實(shí)踐:
1. 技術(shù)編制(Orchestration)
將安全工具和數(shù)據(jù)源協(xié)調(diào)到一個(gè)無縫流程中,通常稱為“編制”。技術(shù)集成是用于支持技術(shù)編制最常用的方法。它有很多種實(shí)現(xiàn)方式,例如API,軟件開發(fā)工具包以及直接數(shù)據(jù)庫(kù)連接,它可用于集成端點(diǎn)檢測(cè)和響應(yīng)、網(wǎng)絡(luò)檢測(cè)和基礎(chǔ)架構(gòu)、威脅情報(bào)、IT服務(wù)管理以及帳戶管理等技術(shù)。
2. 自動(dòng)化
雖然編制和自動(dòng)化的概念密切相關(guān),但它們的目標(biāo)卻截然不同。具體而言,編制旨在通過增加協(xié)調(diào)和減少安全工具之間的上下文切換來提高效率,以支持更快、更明智的決策;而自動(dòng)化則是旨在通過可重復(fù)的過程來減少這些過程的整體耗時(shí),并將機(jī)器學(xué)習(xí)應(yīng)用于適當(dāng)?shù)娜蝿?wù)。通常來說,運(yùn)用自動(dòng)化技術(shù)可以提高編制技術(shù)、流程和人員的效率。而成功實(shí)現(xiàn)自動(dòng)化的關(guān)鍵是確定可預(yù)測(cè)、可重復(fù)的流程,這些流程只需要最少的人為干預(yù)。
3. 戰(zhàn)術(shù)和戰(zhàn)略衡量
支持戰(zhàn)術(shù)決策的信息通常針對(duì)分析師和管理者,涉及事件數(shù)據(jù),其中可能包括妥協(xié)指標(biāo)、相關(guān)事件、資產(chǎn)、流程狀態(tài)以及威脅情報(bào)。這種戰(zhàn)術(shù)信息可以幫助企業(yè)從事件的分類和調(diào)查過程中做出明智的決策。
另一方面,戰(zhàn)略信息通常針對(duì)管理者和高管人員,用于助其做出明智的高層決策。戰(zhàn)略信息可能包括事件趨勢(shì)和統(tǒng)計(jì)數(shù)據(jù)、相關(guān)成本、威脅情報(bào)以及事件相關(guān)性等。更先進(jìn)的安全計(jì)劃可能也會(huì)使用戰(zhàn)略信息來實(shí)現(xiàn)主動(dòng)的威脅追蹤。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
