許多安全負(fù)責(zé)人仍然對他們企業(yè)最近遭遇的安全事件的原因一無所知，這讓人質(zhì)疑他們到底能學(xué)到多少。

三分之一的公司仍然不知道過去一年導(dǎo)致他們數(shù)據(jù)安全事件的原因，四分之三的公司表示，理解他們的安全技術(shù)堆棧正變得越來越復(fù)雜——這兩項關(guān)鍵數(shù)據(jù)凸顯了安全團隊在遭到入侵后改進(jìn)運營所面臨的挑戰(zhàn)。

根據(jù)Foundry/CSO的《2024年安全優(yōu)先級研究》，只有67%的安全負(fù)責(zé)人了解過去12個月內(nèi)導(dǎo)致他們企業(yè)數(shù)據(jù)安全事件的原因。

由于多個因素相互交織，檢測安全事件原因的工作已變得越來越復(fù)雜。

首先，確定是否發(fā)生安全事件本身就是一項重大挑戰(zhàn)。根據(jù)IBM的一份報告，公司平均需要207天才能發(fā)現(xiàn)安全事件，而遏制安全事件還需要額外的70天。因此，至少在初始訪問九個月后，根本原因分析才可能成為焦點，這使得企業(yè)很難查明原因并從安全事件中吸取教訓(xùn)。

此外，發(fā)現(xiàn)安全事件并了解其起因正變得越來越具有挑戰(zhàn)性，尤其是因為攻擊者變得越來越擅長逃避檢測。

安全意識平臺SoSafe的首席安全官(CSO)Andrew Rose表示：“如今的攻擊往往是由人工智能驅(qū)動且經(jīng)過精心設(shè)計以實現(xiàn)隱蔽性，這使得在攻擊初期很難檢測到它們。財務(wù)限制和網(wǎng)絡(luò)安全專業(yè)人才短缺意味著許多企業(yè)缺乏迅速識別、調(diào)查和追蹤威脅的資源。”

遠(yuǎn)程工作環(huán)境和物聯(lián)網(wǎng)設(shè)備的安全挑戰(zhàn)加劇了這些問題，其中許多設(shè)備在設(shè)計時根本沒有考慮安全性，留下了攻擊者可以輕易利用的漏洞。

Foundry采訪的安全專家將檢測安全事件的問題分解為以下不同的挑戰(zhàn)。

缺乏適當(dāng)?shù)臋z測和監(jiān)測系統(tǒng)

發(fā)現(xiàn)安全事件的根本原因依賴于強大的監(jiān)測和取證能力。當(dāng)安全運營被外包時(這種情況越來越多)，對業(yè)務(wù)的不熟悉可能會成為一個問題。

KnowBe4的首席信息安全官(CISO)Brian Jack表示，在他調(diào)查的安全事件中，反復(fù)出現(xiàn)了一些因素。

“我多次看到，由于安全運營中心(SOC)的功能大部分被外包給第三方，而第三方未能通知客戶可疑事件，導(dǎo)致安全事件長時間未被發(fā)現(xiàn)。”Jack解釋道。

他說：“第三方SOC往往缺乏知識，而不是技能，來判斷觸發(fā)警報的某些事件是否值得調(diào)查。在SOC中，了解業(yè)務(wù)、了解人員以及可能發(fā)生的企業(yè)變革是非常有幫助的。”

事件響應(yīng)規(guī)劃不完善

制定清晰的事件響應(yīng)計劃可以讓企業(yè)為調(diào)查并發(fā)現(xiàn)安全事件根本原因的任務(wù)做好準(zhǔn)備，以防安全事件發(fā)生。

Daisy Corporate Services的安全戰(zhàn)略顧問Paul McLatchie告訴記者：“網(wǎng)絡(luò)安全事件不是‘是否’會發(fā)生的問題，而是‘何時’會發(fā)生的問題，這就是為什么企業(yè)必須通過制定和遵循事件響應(yīng)計劃來做好準(zhǔn)備。”

網(wǎng)絡(luò)事件響應(yīng)的重點是快速識別企業(yè)內(nèi)的安全事件和事故，驗證其范圍和影響，并采取有效的緩解和補救措施來應(yīng)對。響應(yīng)計劃還必須延伸到事件后分析和經(jīng)驗教訓(xùn)的考慮，以便能夠確定安全事件的根本原因并吸取防止其再次發(fā)生的教訓(xùn)。

了解安全事件的原因并防范未來問題很重要，因為無法從事件中吸取教訓(xùn)的企業(yè)將很容易再次遭到入侵。

McLatchie說：“計劃無效或步驟不精確都會導(dǎo)致問題。企業(yè)經(jīng)常會忽略事件響應(yīng)計劃的最后階段，并急于恢復(fù)運營。”

McLatchie警告說：“這會導(dǎo)致對安全事件的根本原因分析不充分，或者在某些情況下，關(guān)鍵證據(jù)被意外銷毀。”

KnowBe4的Jack同意，從長遠(yuǎn)來看，徹底分析是很有價值的。

他說：“對所有資產(chǎn)盡可能保持日志可見性，并長時間保留這些日志以進(jìn)行充分覆蓋來開展調(diào)查，可能會很昂貴，但是，這對于早期檢測和徹底調(diào)查關(guān)鍵安全事件非常重要。”

預(yù)算限制

安全預(yù)算捉襟見肘，因此許多企業(yè)未能投資于能夠更容易地追蹤安全事件源頭的資源。

Check Point Software的公共部門負(fù)責(zé)人Graeme Stewart表示，人員配備有限和程序上的漏洞加劇了檢測安全事件的挑戰(zhàn)。

Stewart說：“由于預(yù)算緊張和人員壓力，讓系統(tǒng)恢復(fù)在線成為當(dāng)務(wù)之急，這通常意味著先滅火，然后清理后果，最后才了解最初是什么導(dǎo)致了問題。”

預(yù)算有限往往導(dǎo)致團隊人員不足、根本原因分析能力有限以及取證能力不足。

網(wǎng)絡(luò)安全專家、OnSecurity(一家滲透測試平臺)的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Conor O’Neill表示，中小型企業(yè)在及時發(fā)現(xiàn)問題方面尤其面臨挑戰(zhàn)。

他說：“由于預(yù)算有限、缺乏內(nèi)部安全功能和缺乏知道如何處理和預(yù)防數(shù)據(jù)泄露的訓(xùn)練有素的工作人員，小型企業(yè)比大型企業(yè)更容易受到網(wǎng)絡(luò)攻擊，而所有這些對于識別數(shù)據(jù)泄露至關(guān)重要。”

攻擊越來越復(fù)雜且隱蔽

安全公司Rapid7的高級副總裁兼首席科學(xué)家Raj Samani表示，隨著攻擊變得越來越復(fù)雜，解開問題原因可能會變得更加困難。

他說：“我們必須承認(rèn)，許多威脅企業(yè)會采取措施來掩蓋他們的蹤跡，這通常會使任何調(diào)查都更具挑戰(zhàn)性，然而，這只是識別安全事件源頭如此困難的部分原因。”

Samani補充說：“雖然技術(shù)將輔助調(diào)查，但回顧此類事件所花費的時間往往與下一個問題的緊迫性或確實需要讓環(huán)境再次運行起來的需求相沖突。”

許多安全事件在發(fā)生后很久才被發(fā)現(xiàn)，而延遲會使確定根本原因變得更加困難。在這種情況下，時間是攻擊者的幫兇，因為隨著數(shù)據(jù)的修改、覆蓋和刪除，計算機取證能力會隨著時間的推移而減弱。

Spectrum Search的首席技術(shù)官(CTO)Peter Wood表示：“黑客總是在尋找新方法來融入正常的網(wǎng)絡(luò)流量中，因此即使是最好的檢測系統(tǒng)也可能會在與威脅進(jìn)行永無止境的‘打地鼠’游戲中落敗。雖然系統(tǒng)可能會標(biāo)記出可疑的東西，但要確切地找出它的起源又是另一回事。”

Immersive Labs的技術(shù)產(chǎn)品管理總監(jiān)David Spencer補充說，攻擊者越來越多地竊取和使用合法的用戶憑據(jù)來逃避檢測、在系統(tǒng)之間橫向移動并與正常網(wǎng)絡(luò)活動融合在一起。

他說：“情況進(jìn)一步復(fù)雜化，因為大多數(shù)攻擊都涉及從明文文件、密碼管理器或內(nèi)存轉(zhuǎn)儲中捕獲憑據(jù)，這使得幾乎無法區(qū)分攻擊者和受害者，這就像在一堆越來越多的針中尋找一根[特定的]針。”

過于復(fù)雜(且脫節(jié))的安全技術(shù)堆棧

安全技術(shù)堆棧的復(fù)雜性也是一個日益嚴(yán)重的問題。

美國律師事務(wù)所Varghese Summersett的創(chuàng)始人兼管理合伙人Benson Varghese表示：“許多公司使用多個系統(tǒng)、應(yīng)用程序和工具，它們往往無法集成。”

就像拼圖缺少了一些碎片一樣，當(dāng)系統(tǒng)無法配合在一起時，就很難確定安全事件發(fā)生的位置。

Varghese告訴記者：“我的客戶使用了一些安全解決方案的組合，其中一些已經(jīng)過時或無法通信。由于他們的監(jiān)測系統(tǒng)沒有與他們的安全基礎(chǔ)設(shè)施對齊，因此他們的安全事件幾個月都沒有被發(fā)現(xiàn)。”

Varghese補充說：“當(dāng)他們意識到發(fā)生了什么時，已經(jīng)為時已晚。”

許多公司背負(fù)著技術(shù)債務(wù)，依賴于缺乏全面日志記錄功能的過時系統(tǒng)，這使得詳細(xì)跟蹤和分析事件變得困難。

Logpoint的首席安全研究員Kennet Harps?e表示：“檢測與監(jiān)測是存在的主要問題之一，而日益復(fù)雜的安全技術(shù)堆棧使這一問題更加復(fù)雜。如果工具之間不能協(xié)同集成，關(guān)鍵的安全威脅指標(biāo)很容易遺漏或延遲，導(dǎo)致安全團隊被海量的數(shù)據(jù)淹沒——在這種情況下，真正的信號往往淹沒在誤報的噪聲中。”

倫敦都市大學(xué)的高級應(yīng)用分析師Ben Jarlett告訴記者：“安全信息和事件管理(SIEM)系統(tǒng)以及擴展檢測和響應(yīng)(XDR)平臺可以提供幫助，但它們需要適當(dāng)?shù)恼{(diào)優(yōu)、定期更新和熟練的管理才能發(fā)揮效用。”

Jarlett補充說：“在許多情況下，公司要么沒有充分利用這些系統(tǒng)，要么面臨大量誤報的困擾，這可能掩蓋真正的威脅并延遲識別根本原因。”

Trend Micro的SecOps和威脅情報負(fù)責(zé)人Lewis Duke認(rèn)為，整合安全技術(shù)堆棧可以有所幫助。

他說：“當(dāng)利用整合和相關(guān)的工具來提供真實的上下文并消除調(diào)查時的運營開銷時，企業(yè)會做得更好，這就是為什么我們看到行業(yè)正在向基于平臺的安全策略轉(zhuǎn)變，這種策略可以實現(xiàn)更快、更有效的事件響應(yīng)(IR)，同時在降低技術(shù)堆棧所需成本和技能方面帶來明顯的好處。”

警報疲勞

安全監(jiān)測系統(tǒng)每天都會生成數(shù)百萬條警報，使SOC不堪重負(fù)，并更難隔離惡意行為。

許多安全系統(tǒng)生成的大量誤報警報造成了一個棘手的“信噪比”問題。Logpoint的Harps?e表示：“分析師經(jīng)常被大量警報淹沒，這使得隔離真正威脅并確定其根本原因成為一項艱巨的任務(wù)。”

最終，解決這些挑戰(zhàn)需要改進(jìn)檢測工具的集成、更有效地優(yōu)先處理警報，并戰(zhàn)略性地強調(diào)保持對所有資產(chǎn)的全面可見性。

企業(yè)文化阻礙有效的安全戰(zhàn)略

一些企業(yè)可能沒有完全將網(wǎng)絡(luò)安全作為企業(yè)文化的一部分來優(yōu)先考慮，這使得查明根本原因變得極其困難。

倫敦都市大學(xué)的Jarlett表示：“盡管認(rèn)識到安全的重要性，但許多公司主要集中在監(jiān)管合規(guī)上，投資于網(wǎng)絡(luò)安全工具以滿足最低標(biāo)準(zhǔn)，而沒有培養(yǎng)積極主動的安全意識。”

Okta負(fù)責(zé)EMEA地區(qū)的首席安全官Stephen McDermid認(rèn)為，安全負(fù)責(zé)人需要帶頭建立開放且響應(yīng)迅速的企業(yè)安全文化。

McDermid說：“首席安全官(CSO)有責(zé)任鼓勵人們讓威脅可見并升級潛在風(fēng)險。如果員工害怕提出問題并試圖獨自解決，這可能會延遲關(guān)鍵響應(yīng)。”

行動計劃

公司可以通過投資于改進(jìn)網(wǎng)絡(luò)安全措施、員工培訓(xùn)、事件響應(yīng)規(guī)劃以及檢測和取證能力的投資來提高其韌性。

OnSecurity的O’Neill表示：“使用漏洞掃描器和滲透測試等工具來預(yù)防數(shù)據(jù)泄露，這些工具可以在漏洞和潛在安全事件發(fā)生之前識別它們。”