最新研究數(shù)據(jù)顯示，在2021年發(fā)現(xiàn)的惡意軟件新型變種超過1.7億個，這讓企業(yè)組織的CISO及其團隊在識別和阻止這些新威脅時面臨巨大的壓力。同時，他們還要面對各種挑戰(zhàn)：技能短缺、手動關(guān)聯(lián)數(shù)據(jù)、鑒別誤報和開展漫長的調(diào)查等。

為了確保企業(yè)的安全運營計劃能夠順暢執(zhí)行，現(xiàn)代CISO們在日常工作中，應(yīng)該做好以下七個方面的思考和準(zhǔn)備，以實現(xiàn)更加高效的安全威脅檢測與響應(yīng)，保障企業(yè)數(shù)字化業(yè)務(wù)的穩(wěn)定開展。

思考1：當(dāng)安全事件數(shù)量不斷增加時，如何快速識別真正的威脅？

隨著數(shù)字化應(yīng)用的不斷深入，安全團隊面對的安全事件在不斷增加，其增速通常會超過安全團隊自身的能力成長。任何CISO都不希望其團隊將時間浪費在類似密碼誤輸入引起的登錄失敗事件上，因此需要能夠有效關(guān)聯(lián)和分析這些安全事件數(shù)據(jù)，消除誤報信息，發(fā)現(xiàn)真正的威脅活動。

應(yīng)重點關(guān)注的問題：企業(yè)能否關(guān)聯(lián)來自任何來源(比如日志、云、應(yīng)用程序、網(wǎng)絡(luò)和端點等)的數(shù)據(jù)？能否全面監(jiān)控所有系統(tǒng)，獲取所需的全部檢測數(shù)據(jù)，并自動執(zhí)行關(guān)聯(lián)？關(guān)聯(lián)所有這些系統(tǒng)的成本又是多少？

思考2：如何實現(xiàn)有連續(xù)性的數(shù)據(jù)關(guān)聯(lián)及分析？

大數(shù)據(jù)分析技術(shù)已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域普遍應(yīng)用，這就像從裝滿拼塊的盒子里取出合適的一塊完成拼圖一樣。在網(wǎng)絡(luò)上識別出一次攻擊可能并不困難，但一旦威脅分子潛入環(huán)境，常常會在較長時間內(nèi)(幾天、幾周甚至幾個月)潛伏并進行試探性攻擊，分析人員幾乎不可能長時間處理這些看似不同的事件，并將它們聯(lián)系起來以洞察全局。大多數(shù)工具還難以將這些看似獨立的事件關(guān)聯(lián)起來，并識別出這是同一起攻擊。CISO需要在預(yù)算有限的情況下動用一切資源，確保在重大危害發(fā)生前洞悉企業(yè)全局安全狀況。

應(yīng)重點關(guān)注的問題：現(xiàn)在是否有各種各樣的數(shù)據(jù)源和分析工具來有效地處理事件，并在很長的時間內(nèi)將其關(guān)聯(lián)起來?是否有現(xiàn)成工具用于實時攻擊檢測？

思考3：在分析攻擊活動時，如何實現(xiàn)時間和資源效率的最優(yōu)化？

在拼湊和分析攻擊活動時，手動關(guān)聯(lián)和調(diào)查不同的威脅來源極大地增加了CISO及其團隊所需的時間和資源。安全團隊想要查明問題所在，需要從多個系統(tǒng)中提取數(shù)據(jù)，這是必要的。但在這段時間里，危害可能早已釀成。這個挑戰(zhàn)很容易讓投入大量時間和金錢來建立安全運營計劃的CISO頗感沮喪。

應(yīng)重點關(guān)注的問題：當(dāng)前的團隊是否必須進行大量的手動關(guān)聯(lián)?面對持續(xù)數(shù)周乃至數(shù)月的事件，他們?nèi)绾瓮瓿蛇@項工作?與其他IT團隊合作時，安全團隊是否必須借助多種工具，并自行結(jié)合上下文，才能完成相應(yīng)的工作？

思考4：如何面對團隊安全能力不足的現(xiàn)狀？

如今，市場上沒有足夠多業(yè)務(wù)熟練的網(wǎng)絡(luò)安全專業(yè)人員，企業(yè)很難招聘到在網(wǎng)絡(luò)、服務(wù)器及IT其他方面受過良好培訓(xùn)、經(jīng)驗豐富的從業(yè)人員，CISO被迫雇傭更多缺乏從業(yè)經(jīng)驗的分析師。這些分析師需要更多的在職培訓(xùn)和經(jīng)驗，才能勝任崗位。

應(yīng)重點關(guān)注的問題：TDIR(威脅檢測調(diào)查與響應(yīng))平臺如何自動執(zhí)行某些任務(wù)？它如何提供必要的上下文來幫助經(jīng)驗不足的分析師逐漸學(xué)習(xí)、不斷提升？

思考5：如何透過產(chǎn)業(yè)的泡沫，找到真正滿足需求的產(chǎn)品及供應(yīng)商？

很多時候，供應(yīng)商們在技術(shù)、資源、經(jīng)驗方面都會存在一些不足，難以滿足企業(yè)的實際需求。例如，在威脅檢測方面，一些供應(yīng)商聲稱自己支持機器學(xué)習(xí)、人工智能、多云支持及應(yīng)用風(fēng)險指標(biāo)，但在實際落地時卻無法兌現(xiàn)承諾。

應(yīng)重點關(guān)注的問題：解決方案是否真正使用基于規(guī)則的機器學(xué)習(xí)/人工智能？多云是否只是進行關(guān)聯(lián)，而沒有進一步的分析，最終仍然需要由人工確定是否發(fā)生了跨多云環(huán)境的攻擊？風(fēng)險評分是否只是從公共來源匯總的評分，而不是利用基于分析工具的企業(yè)級風(fēng)險引擎？

思考6：如何實現(xiàn)安全投入與防護效果之間的平衡？

供應(yīng)商常常會根據(jù)用戶獲取的數(shù)據(jù)量向其收費，當(dāng)組織規(guī)模壯大后，按獲取的數(shù)據(jù)量收費變得不可預(yù)測，會導(dǎo)致成本(許可和存儲)的急劇上升。CISO應(yīng)尋找能夠減輕這種成本負(fù)擔(dān)，又能夠讓組織獲取盡可能多數(shù)據(jù)的解決方案。

應(yīng)重點關(guān)注的問題：解決方案是否會因為獲取更多數(shù)據(jù)而支付更多費用？它是否提供更好的可見性，并通過提供靈活的許可做到這一點？供應(yīng)商如何幫助組織降低安全建設(shè)成本？

思考7：如何利用自動化技術(shù)來提升安全檢測能力？

通過自動化手段可以讓安全團隊將注意力集中在更繁重的任務(wù)上，如果方法得當(dāng)，還可以節(jié)省運營支出。這意味著花在低價值的簡單手動任務(wù)上的時間和資源會更少，為處理高價值的任務(wù)縮短了時間。自動化手段還可以為初級分析師提供更好的體驗，可以讓他們不斷學(xué)習(xí)和改進。但并非所有的自動化天生都一樣。如果解決方案產(chǎn)生太多的干擾和誤報，用戶很難確定調(diào)查優(yōu)先級、實現(xiàn)響應(yīng)自動化。

應(yīng)重點關(guān)注的問題：自動化手段是否貫穿于整個SOC生命周期?如果是這樣，怎么知道自動化在發(fā)揮功效？怎么相信它在優(yōu)化安全運營？

參考鏈接：https://www.helpnetsecurity.com/2022/05/05/cisos-threat-detection-challenges/