公司安全事件響應(yīng)計劃很可能并沒有想象中那么健壯。一份新出爐的調(diào)查報告顯示，事件響應(yīng)計劃的真實(shí)效果與安全主管的認(rèn)知之間存在巨大差距。這項(xiàng)研究表明，安全主管往往對自身安全事件響應(yīng)能力充滿迷之自信。

[[223659]]

波耐蒙研究所對全球2848名IT及IT安全人員進(jìn)行了調(diào)查研究，發(fā)現(xiàn)因?yàn)槿狈σ?guī)范化的事件響應(yīng)計劃和足夠的預(yù)算，公司企業(yè)在安全事件響應(yīng)方面依然倍感棘手。

其《第三次網(wǎng)絡(luò)彈性組織年度研究》報告顯示，近一半(48%)的受訪者將其“網(wǎng)絡(luò)彈性”評級為“高”或“非常高”，對自身網(wǎng)絡(luò)彈性水平充滿自信的人數(shù)比例比上一年增加了32%。研究人員對網(wǎng)絡(luò)彈性的定義是：預(yù)防、檢測與響應(yīng)能力的整合，管理、緩解網(wǎng)絡(luò)攻擊，并從網(wǎng)絡(luò)攻擊中恢復(fù)到正常運(yùn)營的能力。

然而，77%的受訪者承認(rèn)，他們并沒有一個能在公司范圍內(nèi)一致應(yīng)用的規(guī)范化事件響應(yīng)計劃。近半數(shù)受訪者稱當(dāng)前響應(yīng)計劃不太正式，或者根本沒有這種計劃。

這就有點(diǎn)矛盾了。受訪者紛紛表示對自己的網(wǎng)絡(luò)彈性信心更足了，但一涉及細(xì)節(jié)，情況卻不那么樂觀。

良好網(wǎng)絡(luò)彈性的組成部分包括技術(shù)人才、信息監(jiān)管操作、正式而全面的事件響應(yīng)計劃、能解決各類攻擊的技術(shù)和產(chǎn)品、重足的資金、來自高級管理層的支持，還有對數(shù)據(jù)和應(yīng)用的可見性。

受訪者普遍認(rèn)為，提高網(wǎng)絡(luò)彈性的最主要辦法就是雇傭有經(jīng)驗(yàn)的技術(shù)人才(61%)，其次是設(shè)置良好的信息監(jiān)管(60%)，然后是擁有夠高的數(shù)據(jù)資產(chǎn)及應(yīng)用可見性(57%)。

然而，人才招募依然面臨難以跨越的障礙：無力雇傭和保留技術(shù)人才是網(wǎng)絡(luò)彈性第二常見的障礙，有56%的受訪者都這么認(rèn)為。79%的受訪者將擁有資深安全技術(shù)人才的重要性視為“高”或“非常高”;與此同時，77%的受訪者將雇傭和留住這些人才的難度定為了“非常高”。

難以雇到并留住安全技術(shù)人才的部分原因，在于事件響應(yīng)專家需要相當(dāng)寬的知識面，要通曉多種技術(shù)集。他們必須什么都知道一點(diǎn)：終端、網(wǎng)絡(luò)、操作系統(tǒng)，還有有關(guān)惡意軟件的方方面面。

找到人才和留住人才之難，已經(jīng)是眾所周知的了。擁有事件響應(yīng)技術(shù)的人現(xiàn)在是千金難求。事件響應(yīng)專家所需的廣泛而稀缺的技術(shù)集，更加加劇了這一人才危機(jī)。

而網(wǎng)絡(luò)彈性的最大障礙，還在于缺乏對網(wǎng)絡(luò)安全新技術(shù)的投入，比如人工智能和機(jī)器學(xué)習(xí)(60%)。運(yùn)用了人工智能的工具可以有效緩解“警報疲勞”，讓分析師得以專注在更復(fù)雜的任務(wù)上。事件響應(yīng)計劃中的某些關(guān)鍵部分，比如檢查終端檢測與響應(yīng)(EDR)平臺、部署URL監(jiān)視等等，都可以運(yùn)用人工智能加以自動化。

事件響應(yīng)并非一招通吃

有些公司的事件響應(yīng)計劃相當(dāng)薄弱，很難說能起到什么作用。有些公司則又在計劃中包含了所有可能的情況，導(dǎo)致響應(yīng)策略相當(dāng)臃腫。

• 不同的事件需要不同的響應(yīng)。DDoS攻擊、勒索軟件攻擊、數(shù)字資產(chǎn)被盜等等事件的響應(yīng)動作各不相同，必須為每種類型的事件創(chuàng)建單獨(dú)的響應(yīng)策略。
• 響應(yīng)計劃中還要考慮到牽涉的每個人。一個常見的錯誤就是沒有納入第三方，這種情況在響應(yīng)計劃不成熟的企業(yè)中非常普遍。而一旦負(fù)責(zé)處理公司客戶數(shù)據(jù)的第三方遭遇安全事件，如果缺乏恰當(dāng)?shù)捻憫?yīng)過程，公司遭遇損失的結(jié)局幾乎是注定的。
• 計劃創(chuàng)建好后還需要實(shí)踐演練。這一點(diǎn)非常重要。實(shí)踐演練和桌面推演過程可以讓安全團(tuán)隊成員充分理解各自的角色和職責(zé)，為應(yīng)對數(shù)據(jù)泄露后的混亂做好準(zhǔn)備。