Foundry/CSO发布的2024年安全优先级研究显示,在过去12个月中,只有67%的安全主管了解其组织发生数据安全事件的具体原因。
这是多个因素共同作用的结果。
首先,识别入侵的发生本身就是一个重大挑战。根据IBM的一份报告,企业平均需要207天才能发现入侵,还需要额外70天进行遏制。这意味着从最初入侵到完成根因分析可能需要长达9个月的时间,这给组织定位原因并从安全事件中吸取教训带来了巨大压力。
许多入侵在发生很久后才被发现,这种延迟使得识别根本原因变得更加困难。随着数据被修改、覆盖和删除,计算机取证能力会随时间推移而减弱。
Spectrum Search的CTO Peter Wood表示:"黑客总是在寻找新的方法融入常规网络流量,因此即使是最好的检测系统,最终也可能陷入与威胁永无止境的'打地鼠'游戏中。虽然系统可能会标记可疑的内容,但要确定它究竟从何处开始则是另一回事。"
其次,当前攻击手段日益复杂和隐蔽,发现安全事件并理解其起源变得越来越具有挑战性。
SoSafe平台CSO Andrew Rose表示:"当今的攻击通常由AI驱动,专为隐蔽性设计,这使得在入侵初期就发现漏洞变得极其困难。由于财务限制和网络安全专业人才短缺,许多组织缺乏快速识别、调查和追踪威胁的资源。"
Rapid7的SVP兼首席科学家Raj Samani表示,许多威胁组织都采取措施掩盖其踪迹,这无疑使任何调查都变得更具挑战性。然而,他分析说,这通常只是识别入侵源头如此困难的部分原因,因为虽然技术能够辅助调查,但回溯审查此类事件所花费的时间往往要与解决下一个紧急问题,也就是让环境重新运转的需求形成竞争。
Immersive Labs技术产品管理总监David Spencer补充说,攻击者越来越多地窃取和使用合法用户凭据来规避检测,在系统间横向移动,并融入常规网络活动。他说:"由于大多数攻击都涉及从明文文件、密码管理器或内存转储中获取凭据,这使得几乎不可能区分攻击者和受害者。这就像在不断增长的针堆中寻找一根特定的针。"
网络安全管理的6大漏洞
除了客观上网络攻击手段日益复杂化、多样化外,企业自身的信息安全管理存在的漏洞也是一个不容忽视的重要因素。大量企业对其遭遇的安全事件原因无从知晓,折射出当前企业信息安全管理中普遍存在的六大关键漏洞。
1.检测监控体系失效
查找入侵的根本原因依赖强大的监控和取证能力。而当安全运营被外包时,这种情况越来越普遍,可能是外包机构对业务不够熟悉。
KnowBe4的CISO Brian Jack就指出,在他调查过的漏洞中,一些因素反复出现,并多次看到入侵长期未被发现的情况。这是因为SOC(安全运营中心)功能在很大程度上外包给了第三方,而该第三方未能及时通知客户可疑事件。
他解释说:"第三方SOC往往缺乏知识而非技能,难以判断某些触发警报的事件是否值得调查。在SOC中,了解业务、人员构成以及可能发生的组织变化非常重要。"
安全牛建议
优化检测监控体系,建立混合安全运营模式:
- 将外包团队与内部安全团队有机结合;
- 为外包安全团队提供必要的业务培训和场景演练;
- 定期评估和更新检测规则,确保与业务发展同步;
- 建立清晰的沟通机制,确保外包团队能够及时上报可疑事件。
2.应急响应计划规划不力
制定清晰的事件响应计划可以帮助组织做好调查和发现入侵根本原因的准备。
Daisy Corporate Services的安全策略顾问Paul McLatchie表示:"网络入侵已不再是'是否发生'的问题,而是'何时发生'的问题,这就是为什么组织必须制定并遵循事件响应计划。"
网络事件响应的重点在于快速识别组织内的安全事件和突发事件,验证其范围和影响,并采取有效的缓解和补救措施。响应计划还必须延伸到事后分析和经验教训总结,以便识别入侵的根本原因并吸取教训,防止类似事件再次发生。
理解入侵原因并防范未来问题非常重要,因为无法从事件中吸取教训的组织很容易遭受进一步的入侵。
"计划无效或步骤执行不够严格都会导致问题。组织往往会忽视事件响应计划的最后阶段,急于恢复运营。"McLatchie警告说:"这会导致对入侵的根本原因分析不充分,在某些情况下,关键证据甚至会被无意中破坏。"
KnowBe4的Jack也认为,从长远来看,全面分析非常有价值。他说:"对尽可能多的资产保持日志可见性,并将这些日志保留足够长的时间以确保调查覆盖面。这可能代价高昂,但对于及早发现和完整调查关键入侵事件很重要。"
安全牛建议
完善应急响应机制:
- 制定详细的应急响应预案,并定期进行演练和更新;
- 建立专门的取证团队,确保关键证据得到妥善保存;
- 设置合理的恢复时间目标,平衡业务恢复和事件调查的需求;
- 强制执行事后分析流程,确保每个事件都得到充分复盘。
3.预算投入失衡
安全预算捉襟见肘,使得许多企业无法投资那些能够更轻松追踪入侵源头的资源。
Check Point Software公共部门负责人Graeme Stewart表示,人员配备有限和流程差距加剧了入侵检测的挑战。
他说:"在预算紧张和人员压力下,让系统重新上线成为首要关注点。这通常意味着先灭火,然后清理后果,最后才去理解起因。"
预算有限往往导致人手不足、根因分析能力有限和取证能力不足。
OnSecurity的CEO兼联合创始人、网络安全专家Conor O'Neill表示,中小型企业在及时识别问题方面面临特殊挑战。
他说:"小型企业比大型企业更容易受到网络攻击,这是因为预算有限、缺乏内部安全职能部门,以及缺乏知道如何处理和预防数据泄露的训练有素的员工,而这些都是识别数据泄露的关键。"
安全牛建议
合理分配安全预算:
- 采用分层投入策略,优先保护核心资产;
- 引入安全投资回报率(ROSI)评估模型;
- 考虑使用托管安全服务(MSS),平衡成本和效果;
- 建立安全预算储备机制,应对突发安全事件。
4.技术栈割裂失控
安全技术栈的复杂性也是一个日益严重的问题。
美国律师事务所Varghese Summersett的创始人兼管理合伙人Benson Varghese表示:"许多公司使用多个系统、应用程序和工具,这些工具往往无法整合。"
当系统无法协同工作时,确定入侵发生的位置就变得很困难,这就像在缺失关键碎片的情况下试图完成一个拼图。
"我有客户使用多种安全解决方案,其中一些已经过时或无法相互通信。有的客户被入侵几个月都未发现,因为他们的监控系统与安全基础设施不匹配。"Varghese举例说:"当他们意识到发生了什么时,线索已经凉了。"
许多企业背负着技术债务,依赖缺乏全面日志记录功能的过时系统,这使得详细追踪和分析事件变得困难。
Logpoint的首席安全研究员Kennet Harpsøe表示:"主要问题之一在于检测和监控(失效),而日益复杂的安全技术栈更是雪上加霜。如果工具之间缺乏紧密集成,关键的入侵指标很容易被错过或延迟发现,这让安全团队被海量数据淹没。在这种情况下,有效信号往往淹没在虚假警报的噪音中。"
伦敦城市大学高级应用分析师Ben Jarlett指出,安全信息和事件管理(SIEM)系统和扩展检测响应(XDR)平台可以提供帮助,但它们需要适当的调优、定期的更新和熟练的管理才能发挥作用。但是在许多情况下,企业要么未充分利用这些系统,要么面临大量虚假警报的困扰,这会掩盖真实的威胁并延迟根本原因的识别。
Trend Micro的SecOps和威胁情报负责人Lewis Duke认为,整合安全技术栈可以提供帮助。他说:"当使用整合的、相关联的工具来提供真实上下文并减少调查过程中的运营开销时,组织的准备会更充分。这就是为什么我们看到行业正在向基于平台的安全策略转变。这种策略能实现更快速、更有效的事件响应(IR),同时在运营精简技术栈所需的成本和技能方面也有明显优势。"
安全牛建议
整合安全技术栈:
- 制定统一的安全架构规划,避免重复建设;
- 优先选择具有开放接口的安全产品,确保系统间互通;
- 建立统一的安全数据湖,实现数据的集中分析;
- 逐步淘汰过时系统,降低技术债务。
5.告警处理流程失效
安全监控系统每天产生数百万条告警,这让SOC不堪重负,也使得隔离恶意行为变得更加困难。
许多安全系统产生的大量虚假警报造成了令人不堪重负的"信噪比"问题。Logpoint的Harpsøe说:"分析师经常被告警淹没,这使得隔离真实威胁并确定其根本原因成为一项艰巨的任务。"
为了应对这些挑战,需要改进检测工具的整合、更有效的告警优先级排序,以及在战略上强调维护对所有资产的全面可见性。
安全牛建议
提升告警质量:
- 实施多层级的告警过滤机制;
- 利用AI技术进行告警关联分析和自动化处理;
- 建立告警优先级评估体系;
- 定期优化告警规则,减少误报率。
6.安全文化建设缺位
一些组织可能没有将网络安全作为企业文化的重要组成部分,这使得发现网络安全事件根本原因变得极其困难。
伦敦城市大学的Jarlett表示:"尽管认识到安全的重要性,许多公司主要关注合规性,投资网络安全工具仅仅是为了满足最低标准,而没有培养主动的安全意识。"
Okta的EMEA区CSO Stephen McDermid认为,安全领导者需要带头打造开放和响应迅速的企业安全文化。
McDermid说:"CSO的责任是鼓励人们让威胁变得可见并及时上报潜在风险。如果员工害怕提出问题并试图独自解决,这可能会延迟关键响应。"
安全牛建议
强化安全文化建设:
- 将安全意识培训纳入员工考核体系;
- 建立安全事件报告激励机制;
- 定期举办安全知识分享会;
- 高管带头参与安全文化建设。