檢測入侵原因變得更加復雜

Foundry/CSO發布的2024年安全優先級研究顯示，在過去12個月中，只有67%的安全主管了解其組織發生數據安全事件的具體原因。

這是多個因素共同作用的結果。

首先，識別入侵的發生本身就是一個重大挑戰。根據IBM的一份報告，企業平均需要207天才能發現入侵，還需要額外70天進行遏制。這意味著從最初入侵到完成根因分析可能需要長達9個月的時間，這給組織定位原因并從安全事件中吸取教訓帶來了巨大壓力。

許多入侵在發生很久后才被發現，這種延遲使得識別根本原因變得更加困難。隨著數據被修改、覆蓋和刪除，計算機取證能力會隨時間推移而減弱。

Spectrum Search的CTO Peter Wood表示："黑客總是在尋找新的方法融入常規網絡流量，因此即使是最好的檢測系統，最終也可能陷入與威脅永無止境的'打地鼠'游戲中。雖然系統可能會標記可疑的內容，但要確定它究竟從何處開始則是另一回事。"

其次，當前攻擊手段日益復雜和隱蔽，發現安全事件并理解其起源變得越來越具有挑戰性。

SoSafe平臺CSO Andrew Rose表示："當今的攻擊通常由AI驅動，專為隱蔽性設計，這使得在入侵初期就發現漏洞變得極其困難。由于財務限制和網絡安全專業人才短缺，許多組織缺乏快速識別、調查和追蹤威脅的資源。"

Rapid7的SVP兼首席科學家Raj Samani表示，許多威脅組織都采取措施掩蓋其蹤跡，這無疑使任何調查都變得更具挑戰性。然而，他分析說，這通常只是識別入侵源頭如此困難的部分原因，因為雖然技術能夠輔助調查，但回溯審查此類事件所花費的時間往往要與解決下一個緊急問題，也就是讓環境重新運轉的需求形成競爭。

Immersive Labs技術產品管理總監David Spencer補充說，攻擊者越來越多地竊取和使用合法用戶憑據來規避檢測，在系統間橫向移動，并融入常規網絡活動。他說："由于大多數攻擊都涉及從明文文件、密碼管理器或內存轉儲中獲取憑據，這使得幾乎不可能區分攻擊者和受害者。這就像在不斷增長的針堆中尋找一根特定的針。"

網絡安全管理的6大漏洞

除了客觀上網絡攻擊手段日益復雜化、多樣化外，企業自身的信息安全管理存在的漏洞也是一個不容忽視的重要因素。大量企業對其遭遇的安全事件原因無從知曉，折射出當前企業信息安全管理中普遍存在的六大關鍵漏洞。

1.檢測監控體系失效

查找入侵的根本原因依賴強大的監控和取證能力。而當安全運營被外包時，這種情況越來越普遍，可能是外包機構對業務不夠熟悉。

KnowBe4的CISO Brian Jack就指出，在他調查過的漏洞中，一些因素反復出現，并多次看到入侵長期未被發現的情況。這是因為SOC（安全運營中心）功能在很大程度上外包給了第三方，而該第三方未能及時通知客戶可疑事件。

他解釋說："第三方SOC往往缺乏知識而非技能，難以判斷某些觸發警報的事件是否值得調查。在SOC中，了解業務、人員構成以及可能發生的組織變化非常重要。"

安全牛建議

優化檢測監控體系，建立混合安全運營模式：

• 將外包團隊與內部安全團隊有機結合；
• 為外包安全團隊提供必要的業務培訓和場景演練；
• 定期評估和更新檢測規則，確保與業務發展同步；
• 建立清晰的溝通機制，確保外包團隊能夠及時上報可疑事件。

2.應急響應計劃規劃不力

制定清晰的事件響應計劃可以幫助組織做好調查和發現入侵根本原因的準備。

Daisy Corporate Services的安全策略顧問Paul McLatchie表示："網絡入侵已不再是'是否發生'的問題，而是'何時發生'的問題，這就是為什么組織必須制定并遵循事件響應計劃。"

網絡事件響應的重點在于快速識別組織內的安全事件和突發事件，驗證其范圍和影響，并采取有效的緩解和補救措施。響應計劃還必須延伸到事后分析和經驗教訓總結，以便識別入侵的根本原因并吸取教訓，防止類似事件再次發生。

理解入侵原因并防范未來問題非常重要，因為無法從事件中吸取教訓的組織很容易遭受進一步的入侵。

"計劃無效或步驟執行不夠嚴格都會導致問題。組織往往會忽視事件響應計劃的最后階段，急于恢復運營。"McLatchie警告說："這會導致對入侵的根本原因分析不充分，在某些情況下，關鍵證據甚至會被無意中破壞。"

KnowBe4的Jack也認為，從長遠來看，全面分析非常有價值。他說："對盡可能多的資產保持日志可見性，并將這些日志保留足夠長的時間以確保調查覆蓋面。這可能代價高昂，但對于及早發現和完整調查關鍵入侵事件很重要。"

安全牛建議

完善應急響應機制：

• 制定詳細的應急響應預案，并定期進行演練和更新；
• 建立專門的取證團隊，確保關鍵證據得到妥善保存；
• 設置合理的恢復時間目標，平衡業務恢復和事件調查的需求；
• 強制執行事后分析流程，確保每個事件都得到充分復盤。

3.預算投入失衡

安全預算捉襟見肘，使得許多企業無法投資那些能夠更輕松追蹤入侵源頭的資源。

Check Point Software公共部門負責人Graeme Stewart表示，人員配備有限和流程差距加劇了入侵檢測的挑戰。

他說："在預算緊張和人員壓力下，讓系統重新上線成為首要關注點。這通常意味著先滅火，然后清理后果，最后才去理解起因。"

預算有限往往導致人手不足、根因分析能力有限和取證能力不足。

OnSecurity的CEO兼聯合創始人、網絡安全專家Conor O'Neill表示，中小型企業在及時識別問題方面面臨特殊挑戰。

他說："小型企業比大型企業更容易受到網絡攻擊，這是因為預算有限、缺乏內部安全職能部門，以及缺乏知道如何處理和預防數據泄露的訓練有素的員工，而這些都是識別數據泄露的關鍵。"

安全牛建議

合理分配安全預算：

• 采用分層投入策略，優先保護核心資產；
• 引入安全投資回報率（ROSI）評估模型；
• 考慮使用托管安全服務（MSS），平衡成本和效果；
•  建立安全預算儲備機制，應對突發安全事件。

4.技術棧割裂失控

安全技術棧的復雜性也是一個日益嚴重的問題。

美國律師事務所Varghese Summersett的創始人兼管理合伙人Benson Varghese表示："許多公司使用多個系統、應用程序和工具，這些工具往往無法整合。"

當系統無法協同工作時，確定入侵發生的位置就變得很困難，這就像在缺失關鍵碎片的情況下試圖完成一個拼圖。

"我有客戶使用多種安全解決方案，其中一些已經過時或無法相互通信。有的客戶被入侵幾個月都未發現，因為他們的監控系統與安全基礎設施不匹配。"Varghese舉例說："當他們意識到發生了什么時，線索已經涼了。"

許多企業背負著技術債務，依賴缺乏全面日志記錄功能的過時系統，這使得詳細追蹤和分析事件變得困難。

Logpoint的首席安全研究員Kennet Harps?e表示："主要問題之一在于檢測和監控（失效），而日益復雜的安全技術棧更是雪上加霜。如果工具之間缺乏緊密集成，關鍵的入侵指標很容易被錯過或延遲發現，這讓安全團隊被海量數據淹沒。在這種情況下，有效信號往往淹沒在虛假警報的噪音中。"

倫敦城市大學高級應用分析師Ben Jarlett指出，安全信息和事件管理（SIEM）系統和擴展檢測響應（XDR）平臺可以提供幫助，但它們需要適當的調優、定期的更新和熟練的管理才能發揮作用。但是在許多情況下，企業要么未充分利用這些系統，要么面臨大量虛假警報的困擾，這會掩蓋真實的威脅并延遲根本原因的識別。

Trend Micro的SecOps和威脅情報負責人Lewis Duke認為，整合安全技術?？梢蕴峁椭?。他說："當使用整合的、相關聯的工具來提供真實上下文并減少調查過程中的運營開銷時，組織的準備會更充分。這就是為什么我們看到行業正在向基于平臺的安全策略轉變。這種策略能實現更快速、更有效的事件響應（IR），同時在運營精簡技術棧所需的成本和技能方面也有明顯優勢。"

安全牛建議

整合安全技術棧：

• 制定統一的安全架構規劃，避免重復建設；
• 優先選擇具有開放接口的安全產品，確保系統間互通；
• 建立統一的安全數據湖，實現數據的集中分析；
• 逐步淘汰過時系統，降低技術債務。

5.告警處理流程失效

安全監控系統每天產生數百萬條告警，這讓SOC不堪重負，也使得隔離惡意行為變得更加困難。

許多安全系統產生的大量虛假警報造成了令人不堪重負的"信噪比"問題。Logpoint的Harps?e說："分析師經常被告警淹沒，這使得隔離真實威脅并確定其根本原因成為一項艱巨的任務。"

為了應對這些挑戰，需要改進檢測工具的整合、更有效的告警優先級排序，以及在戰略上強調維護對所有資產的全面可見性。

安全牛建議

提升告警質量：

• 實施多層級的告警過濾機制；
• 利用AI技術進行告警關聯分析和自動化處理；
• 建立告警優先級評估體系；
• 定期優化告警規則，減少誤報率。

6.安全文化建設缺位

一些組織可能沒有將網絡安全作為企業文化的重要組成部分，這使得發現網絡安全事件根本原因變得極其困難。

倫敦城市大學的Jarlett表示："盡管認識到安全的重要性，許多公司主要關注合規性，投資網絡安全工具僅僅是為了滿足最低標準，而沒有培養主動的安全意識。"

Okta的EMEA區CSO Stephen McDermid認為，安全領導者需要帶頭打造開放和響應迅速的企業安全文化。

McDermid說："CSO的責任是鼓勵人們讓威脅變得可見并及時上報潛在風險。如果員工害怕提出問題并試圖獨自解決，這可能會延遲關鍵響應。"

安全牛建議

強化安全文化建設：

• 將安全意識培訓納入員工考核體系；
• 建立安全事件報告激勵機制；
• 定期舉辦安全知識分享會；
• 高管帶頭參與安全文化建設。