如今,很多企业的安全运营团队不断受到网络攻击和恶意软件变种的影响。事实上,根据最近的一项研究,仅2021年全球就出现了1.7亿个以上的恶意软件新变种。因此,企业的首席信息安全官及其安全团队识别和阻止这些新威胁的负担十分沉重。在此过程中,他们面临着各种挑战:技能短缺、人工数据关联、追逐误报、冗长的调查等等。本文将探讨首席信息安全官面临的一些威胁检测计划挑战,并提供了一些关于他们如何改进安全运营的技巧。
首席信息安全官确保威胁检测、调查和响应的安全运营计划以最佳性能执行。以下了解可能影响企业检测、调查和响应计划的七个关键问题,以及首席信息安全官应考虑向其企业、安全运营团队以及提供解决方案的供应商提出的一些问题。
1、网络上发生的数据泄露或安全事件太多,无法正确识别恶意活动
因此,很多首席信息安全官正在寻找能够有效关联和分析这些数据以消除误报的高级工具。任何一位首席信息安全官都不希望他的团队在可能只是与用户多次错误输入密码相关的登录失败事件上浪费时间。
要问的问题:能否关联来自任何来源(如日志、云服务、应用程序、网络、端点等)的数据,无论它是什么?能否全面监控所有这些系统,获取所需的遥测数据并自动执行关联?关联所有这些数据的成本是多少(解决方案提供商收取的费用是多少)?
2、随着时间的推移,关联数据是很困难的
这就像从一个装满多个拼图碎片盒子中拼出拼图一样。发生一次网络攻击可能很难识别。但是一旦威胁参与者已经潜入,他们通常会在较长时间内(有时几天、几周或几个月后)再实施一些网络攻击。这使得分析师几乎不可能将这些看似不相关的事件联系起来以解决这个难题。
大多数工具还难以将这些看似独立的事件关联为同一网络攻击的一部分,因为随着时间的推移,它们似乎不相关。首席信息安全官负责确保团队拥有所需的一切(基于有限的预算),以便在造成损害之前将这个难题逐一解决。
要问的问题:是否有各种各样的数据源和分析可以有效地处理事件并将它们跨时间关联?是否包含现成的威胁内容用于实时攻击检测?
3、在应对网络攻击活动时,人工关联和调查不同的安全源极大地延长了首席信息安全官及其团队所需的时间,并耗尽资源
一次从多个系统中提取数据是必要的,以获得找出问题所在(以及如何响应)所需的场景信息。但在这段时间内,可能已经造成损害。这一挑战很容易让首席信息安全官感到沮丧,因为他们在建立安全运营计划方面投入了大量时间和费用。
要问的问题:企业当前的团队是否必须进行大量人工关联?他们如何能够通过跨越数周甚至数月的时间来实现这一点?在与其他IT团队合作时,企业的团队是否必须搜索多种工具并自行组合场景以查看有助于制定更好响应的模式?
4、技能差距仍然是一个问题
然而,随着在网络、服务器和IT其他方面接受过培训的经验丰富从业人员逐渐退出劳动力市场,首席信息安全官被迫雇佣更多专注于安全的分析师,但从业人员的经验却越来越少,并且当今市场上没有足够的经验丰富的网络安全专业人员。
要问的问题:企业的检测、调查和响应平台如何自动执行某些任务并将正确的场景带到最前沿?它如何提供必要的场景来帮助经验不足的分析师随着时间的推移学习并增加价值?
5、供应商过度承诺和交付不足
在威胁检测方面,很多供应商错误地声称或夸大他们拥有机器学习、人工智能、多云支持应用风险指标。首席信息安全官有时受到供应商的抨击,供应商声称在最糟糕的情况下为解决问题提供了灵丹妙药,但并没有兑现承诺。
要问的问题:该解决方案是否使用基于规则的人工智能/机器学习(考虑到它本质上是静态的、需要更新并且在识别新的网络攻击和变体方面无效,理解这一点很重要)?多云是否只是进行关联(由分析师确定是否跨多云发生攻击)?风险评分是否只是来自公共来源的汇总评分(而不是利用由分析提供支持的企业级风险引擎)?
6、成本和预算与更好的安全可见性之间的权衡可能是一个痛苦的选择
首席信息安全官通常会采用一些平台(如SIEM),这些平台根据摄取的数据量向用户收取费用。随着企业的发展,按摄取的数据付费是不可预测的,并且会迅速导致许可和存储成本迅速上升。因此,首席信息安全官应该寻找能够减少这种成本负担的解决方案,同时仍然允许企业摄取尽可能多地摄取数据。其结果是更好的安全运营中心可见性和更有效的检测、调查和响应。
要问的问题:对于采用真正机器学习的解决方案,可以摄取的数据越多越好。其解决方案是否会因为引入更多数据而受到惩罚?或者它是否包含更多的数据摄取以提供更好的可见性并通过提供灵活的许可来做到这一点?提供商如何帮助降低存储成本?
7、自动化可以提高效率并加快威胁检测
这可以让安全团队成员将注意力集中在更密集的任务上。如果有效完成,这可以节省运营成本——这意味着花费在简单和低价值人工任务上的时间和资源更少,同时也缩短了完成高价值任务的时间。它还可以为初级分析师提供更好的体验,他们可以学习和改进。
但并非所有的自动化都是平等的。产生太多噪音和太多误报的解决方案使得难以确定优先调查和自动响应。威胁检测越准确,自动响应就越有针对性。
要问的问题:解决方案中的自动化是否贯穿整个安全运营中心生命周期?如果是这样,怎么知道它在工作,怎么能相信它正在优化操作(例如它能否表明在杀伤链中更早地阻止了威胁)?
随着首席信息安全官及其安全运营团队寻求改进威胁检测,他们将面临围绕可见性、成本、灵活性(尤其是在云计算环境中)、分析、优先级、场景数据等方面的各种问题。但是,通过努力理解这些挑战,并用知识和正确的问题武装自己,各行业可以继续发展,并为企业提供更好的安全运营环境。