IBM的最新全球調(diào)查發(fā)現(xiàn)，企業(yè)配備更多安全工具反而導致無效的安全響應，且大多數(shù)組織沒有針對常見和新興攻擊的具體計劃和預案。

IBM的《年度企業(yè)網(wǎng)絡彈性報告》今年已經(jīng)是第五版，該調(diào)查主要是考察企業(yè)在準備和應對網(wǎng)絡攻擊方面的有效性。調(diào)查發(fā)現(xiàn)，盡管企業(yè)在過去五年中已逐漸提高了對網(wǎng)絡攻擊進行計劃、檢測和響應的能力，但在同一時期內(nèi)，遏制攻擊的能力卻下降了13%。根據(jù)IBM全球調(diào)查，使用太多的安全工具以及缺乏針對常見攻擊類型的特定操作手冊，阻礙了企業(yè)的安全響應工作。

[[332736]]

盡管安全響應計劃的改進速度正在緩慢提高，但是絕大多數(shù)組織(74%)仍報告其計劃是臨時的、應用不一致或者根本沒有計劃。這種缺乏計劃的情況可能會極大地影響安全事件的成本，因為擁有事件響應團隊并廣泛測試其事件響應計劃的公司在數(shù)據(jù)泄露方面的平均支出要比同時擁有這兩個節(jié)省成本因素的公司少120萬美元。

IBM 年度網(wǎng)絡彈性報告的主要發(fā)現(xiàn)包括：

• 緩慢改進的安全響應計劃：在過去5年中，越來越多的組織采用了正式的企業(yè)范圍的安全響應計劃;從2015年的18%的受訪者增長到今年的26%(改善了44%)。
• 缺乏針對性預案：即使在制定了正式安全響應計劃的預案中，也只有三分之一(占受訪者總數(shù)的17%)針對常見的攻擊類型開發(fā)了特定的預案，而針對勒索軟件等新興攻擊方法的計劃則遠遠落后于此。
• 復雜性阻礙了響應：組織使用的安全工具數(shù)量對威脅生命周期的多個類別都具有負面影響。與使用較少工具的組織相比，使用50多種安全工具的組織的檢測能力降低了8%，而對攻擊做出響應的能力降低了7%。
• 更好的計劃，更少的損失：在整個企業(yè)中應用了正式安全響應計劃的公司，由于網(wǎng)絡攻擊而遭受重大破壞的可能性要小得多;在過去的兩年中，這些公司中只有39%經(jīng)歷了破壞性的安全事件，相比之下，那些計劃準備不足或者一致性較低的公司遭受破壞性安全事件的比例高達62%。

IBM X-Force威脅情報部門副總裁Wendi Whitmore表示：“盡管越來越多的組織認真對待事件響應計劃，但為網(wǎng)絡攻擊做準備并不是一件容易的事。組織還必須定期關注測試，實踐和重新評估其響應計劃。利用可互操作的技術和自動化還可以幫助克服復雜性挑戰(zhàn)，并加快解決事件所需的時間。”

更新預案以應對新興威脅

調(diào)查發(fā)現(xiàn)，即使在擁有正式網(wǎng)絡安全事件響應計劃(CSIRP)的組織中，也只有33%的組織有針對特定類型攻擊的手冊。由于不同類型的攻擊需要獨特的響應技術，因此擁有預定義的操作手冊可為組織提供針對他們可能面臨的最常見攻擊的一致且可重復的行動計劃。

在制定了針對特定攻擊的預案的少數(shù)組織中，最常見的預案是針對DDoS攻擊(64%)和惡意軟件(57%)的。盡管這些方法歷來是企業(yè)的頭等大事，但諸如勒索軟件之類的其他攻擊方法正在不斷增加。盡管近年來勒索軟件攻擊激增了近70%，但只有45%的人制定了勒索軟件攻擊計劃。

此外，超過一半(52%)的制定了安全響應計劃的受訪者表示，他們從未審查過或沒有規(guī)定的期限來審查/測試這些計劃。面對新冠疫情中越來越多的遠程勞動力使業(yè)務運營發(fā)生快速變化，并且不斷引入新的攻擊技術，該數(shù)據(jù)表明許多企業(yè)的業(yè)務都依賴于過時的響應計劃，這些計劃無法反映當前的威脅和業(yè)務前景。

更多安全工具導致響應能力更差

該報告還發(fā)現(xiàn)，復雜性對事件響應能力產(chǎn)生了負面影響。接受調(diào)查的人員估計，他們的組織平均使用45種以上的安全工具，并且他們響應的每個事件平均需要對大約19種工具進行協(xié)調(diào)。該研究還發(fā)現(xiàn)，過多的工具實際上可能會阻礙組織處理攻擊的能力。在調(diào)查中，使用50多種工具的人員將其發(fā)現(xiàn)攻擊的能力降低了8%，而對攻擊做出的響應則降低了7%。

這些發(fā)現(xiàn)表明，采用更多安全工具并不一定會提高安全響應的效率，實際上，這樣做可能適得其反。使用開放的，可互操作的平臺以及自動化技術可以幫助降低跨工具進行響應的復雜性。在報告中的高績效組織中，有63%的人表示可互操作安全工具的使用幫助他們提高了對網(wǎng)絡攻擊的反應。

更好的安全計劃能帶來回報

今年的報告提供了明確的證據(jù)，表明對正式安全計劃進行投資的組織在應對事件方面更為成功。在整個企業(yè)中始終采用CSIRP的公司中，只有39%的事件在過去兩年中對組織造成了重大破壞，而沒有正式計劃的公司中有62%。

報告還發(fā)現(xiàn)，在企業(yè)應對攻擊能力的調(diào)查中，安全人員技能是最重要的因素。61%的受訪者將企業(yè)安全彈性歸功于雇用了熟練的員工;而那些表示缺乏安全彈性的企業(yè)則有41%將缺乏熟練的員工列為首要原因。

技術是幫助組織提高網(wǎng)絡彈性的另一個差異化因素，尤其是在幫助他們解決復雜性的工具方面。對于具有較高網(wǎng)絡彈性水平的組織，提高其網(wǎng)絡彈性水平的最重要的兩個因素是：對應用程序和數(shù)據(jù)的可見性(57%的選擇)，以及自動化工具(55%的選擇)。數(shù)據(jù)表明，安全成熟度越高的企業(yè)，越依賴技術創(chuàng)新來提高網(wǎng)絡彈性。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文