最近的數(shù)據(jù)泄露或勒索軟件時間的標(biāo)題占據(jù)了新聞主導(dǎo)地位。隨著各種威脅的迅速發(fā)展和擴散，這類頭條新聞已經(jīng)成為我們的現(xiàn)狀。為了保持領(lǐng)先于最新威脅，組織需要一種強大的安全態(tài)勢，使其能夠在威脅之前發(fā)展。為了找出組織與整體安全之間目前存在的挑戰(zhàn)，調(diào)查了全球數(shù)百名安全專業(yè)人員并匯總了結(jié)果。

[[274796]]

自動化和可視性是主要的挑戰(zhàn)

我們發(fā)現(xiàn)，各組織目前面臨的主要挑戰(zhàn)是缺乏自動化，緊隨其后的是缺乏可見性。整體網(wǎng)絡(luò)防御在很大程度上依賴于在整個網(wǎng)絡(luò)地形中建立可見性。然而，我們的調(diào)查發(fā)現(xiàn)，33%的受訪者缺乏整個地形的可見度，另有16%的受訪者不知道他們目前的可見度。這意味著我們大約一半的受訪者(49%)無法理解他們組織的風(fēng)險，因為您無法捍衛(wèi)您不知道和無法察覺的內(nèi)容。事實上，只有12%的人強烈同意他們擁有完整的地形能見度。組織本質(zhì)上面臨更高級別的風(fēng)險水平，并面臨著敵人潛伏在他們的網(wǎng)絡(luò)中而不被發(fā)現(xiàn)的可能性增加。

與此同時，許多組織的可利用攻擊面正在擴大。當(dāng)被問及在過去一年里，他們的網(wǎng)絡(luò)領(lǐng)域是否有所擴張時，69%的受訪者表示網(wǎng)絡(luò)擴張了。促成這種地形增長的主要原因是更多的云應(yīng)用程序、更高水平的網(wǎng)絡(luò)流量和更多的端點。BYOD設(shè)備，企業(yè)物聯(lián)網(wǎng)以及兼并和收購也被稱為地形增長的促成因素。與此同時，遺留系統(tǒng)和云應(yīng)用程序被視為實現(xiàn)可見性的主要障礙。

不斷增長的安全堆棧未能提供結(jié)果

隨著時間的推移出現(xiàn)了新的威脅，許多組織購買了不同的網(wǎng)絡(luò)安全產(chǎn)品來解決這問題，通常來自不同的供應(yīng)商，作為其總體安全基礎(chǔ)設(shè)施的一部分。這種策略導(dǎo)致重復(fù)功能，缺乏互操作性并進一步降低可見性，所有這些都增加了復(fù)雜性，而沒有提供任何額外的安全性好處。

這可以通過極少數(shù)組織使用其完整安全堆棧來充分發(fā)揮其功能來證明。在我們的調(diào)查中，61.5%的參與者告訴我們，他們沒有使用一半或更多的安全堆棧來滿足其全部功能，只有6.5%的人認(rèn)為他們正在使用他們的完整堆棧來完成其全部功能。這也為我們提供了一個暗示，為什么缺乏自動化被列為目前組織面臨的頭號網(wǎng)絡(luò)安全挑戰(zhàn)。由于安全堆棧中的這些低效率，每個產(chǎn)品都會產(chǎn)生警報，通常是以人類無法跟上的速度發(fā)生的。因此，只有一小部分警報被調(diào)查，分析師很快就會因為無法管理的大量警報而受到騷擾。最終，這使得對手可以長時間不被發(fā)現(xiàn)，更容易逍遙法外，并降低了攻擊的總體成本。

通過在一個合作的網(wǎng)絡(luò)安全框架內(nèi)進行整合，允許單個管理平臺在整個分布式網(wǎng)絡(luò)中監(jiān)控，管理和編排解決方案。集成平臺可以自動處理和分析來自多個來源的威脅信息，并可以快速識別和緩解網(wǎng)絡(luò)安全威脅?？梢宰詣幼R別，隔離和分析可疑文件。所有這一切，如果手動完成，都是非常耗費人力和時間的。通過縮減不必要的冗余安全設(shè)備并集成統(tǒng)一系統(tǒng)中的內(nèi)容，組織可以使其網(wǎng)絡(luò)安全解決方案比以往更加有效。

威脅情報和威脅狩獵仍未得到充分利用

簡化安全堆棧是減少攻擊者停留時間和加強防御的重要一步。但是，這是幾個步驟之一。為了更積極地為現(xiàn)代對手做準(zhǔn)備，組織還需要增加對威脅搜尋和威脅情報能力的關(guān)注和投資。威脅狩獵對于當(dāng)今的組織來說是必不可少的，允許分析師尋找未知的威脅。但是，我們的調(diào)查發(fā)現(xiàn)，只有46%的組織目前能夠利用量身定制的威脅情報和威脅搜尋活動。

有效的威脅情報需要能夠為安全團隊提供正確的指示和警告，以及提供信息和塑造網(wǎng)絡(luò)防御的能力。不幸的是，大約三分之一的具有威脅情報的組織對威脅情報來源產(chǎn)生的對策信心不大或完全沒有信心。這表明組織不僅需要威脅情報，還需要專門針對其組織的安全架構(gòu)和威脅環(huán)境量身定制威脅情報。

為了有效地進行威脅搜索，組織需要正確的工具，最重要的是需要正確的數(shù)據(jù)。自動化可以幫助完成大部分基礎(chǔ)工作，從網(wǎng)絡(luò)傳感器，端點和云環(huán)境收集豐富的源數(shù)據(jù)，并進行跨會話分析以及多方面和惡意軟件行為分析。這些對于破壞后檢測和未知的威脅搜索至關(guān)重要。然而，許多組織缺乏這一點，大約41%的受訪者表示他們目前沒有定制的威脅情報，但希望如此。

盡管自動化和機器輔助對于為捕獲提供所需信息和背景是必不可少的，但有效性最終將取決于分析師進行捕獲所擁有的時間和技能。這是因為威脅捕獲是一項人力密集的勞動密集型活動。當(dāng)前沒有威脅追捕的組織被問及為什么時，絕大多數(shù)人都指出缺乏時間(49%)和技能(41%)。只有9%的組織回應(yīng)稱他們不認(rèn)為有必要進行威脅搜尋。

結(jié)論

這些挑戰(zhàn)的結(jié)合——缺乏自動化、缺乏可見性、無法管理的安全堆棧、缺乏定制的威脅情報、以及缺乏進行威脅搜尋的時間或技能。意味著安全團隊往往負(fù)擔(dān)過重，無法應(yīng)對現(xiàn)在威脅的現(xiàn)實。

組織無法阻止他們的地形增長，但他們可以控制他們?yōu)榘踩褩Ｌ砑拥膬?nèi)容，以應(yīng)對負(fù)擔(dān)過重的安全團隊。為此，組織應(yīng)該針對基于風(fēng)險的框架評估其安全堆棧功能，以確定他們需要哪些功能以及哪些功能是多余的。這將有助于他們控制他們的架構(gòu)并建立更完整的可見性水平，從而有助于威脅情報和威脅搜尋活動。