最新研究數(shù)據(jù)顯示，在2021年發(fā)現(xiàn)的惡意軟件新型變種超過1.7億個(gè)，這讓企業(yè)組織的CISO及其團(tuán)隊(duì)在識(shí)別和阻止這些新威脅時(shí)面臨巨大的壓力。同時(shí)，他們還要面對(duì)各種挑戰(zhàn)：技能短缺、手動(dòng)關(guān)聯(lián)數(shù)據(jù)、鑒別誤報(bào)和開展漫長的調(diào)查等。

為了確保企業(yè)的安全運(yùn)營計(jì)劃能夠順暢執(zhí)行，現(xiàn)代CISO們?cè)谌粘９ぷ髦校瑧?yīng)該做好以下七個(gè)方面的思考和準(zhǔn)備，以實(shí)現(xiàn)更加高效的安全威脅檢測(cè)與響應(yīng)，保障企業(yè)數(shù)字化業(yè)務(wù)的穩(wěn)定開展。

思考1：當(dāng)安全事件數(shù)量不斷增加時(shí)，如何快速識(shí)別真正的威脅？

隨著數(shù)字化應(yīng)用的不斷深入，安全團(tuán)隊(duì)面對(duì)的安全事件在不斷增加，其增速通常會(huì)超過安全團(tuán)隊(duì)自身的能力成長。任何CISO都不希望其團(tuán)隊(duì)將時(shí)間浪費(fèi)在類似密碼誤輸入引起的登錄失敗事件上，因此需要能夠有效關(guān)聯(lián)和分析這些安全事件數(shù)據(jù)，消除誤報(bào)信息，發(fā)現(xiàn)真正的威脅活動(dòng)。

應(yīng)重點(diǎn)關(guān)注的問題：企業(yè)能否關(guān)聯(lián)來自任何來源(比如日志、云、應(yīng)用程序、網(wǎng)絡(luò)和端點(diǎn)等)的數(shù)據(jù)？能否全面監(jiān)控所有系統(tǒng)，獲取所需的全部檢測(cè)數(shù)據(jù)，并自動(dòng)執(zhí)行關(guān)聯(lián)？關(guān)聯(lián)所有這些系統(tǒng)的成本又是多少？

思考2：如何實(shí)現(xiàn)有連續(xù)性的數(shù)據(jù)關(guān)聯(lián)及分析？

大數(shù)據(jù)分析技術(shù)已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域普遍應(yīng)用，這就像從裝滿拼塊的盒子里取出合適的一塊完成拼圖一樣。在網(wǎng)絡(luò)上識(shí)別出一次攻擊可能并不困難，但一旦威脅分子潛入環(huán)境，常常會(huì)在較長時(shí)間內(nèi)(幾天、幾周甚至幾個(gè)月)潛伏并進(jìn)行試探性攻擊，分析人員幾乎不可能長時(shí)間處理這些看似不同的事件，并將它們聯(lián)系起來以洞察全局。大多數(shù)工具還難以將這些看似獨(dú)立的事件關(guān)聯(lián)起來，并識(shí)別出這是同一起攻擊。CISO需要在預(yù)算有限的情況下動(dòng)用一切資源，確保在重大危害發(fā)生前洞悉企業(yè)全局安全狀況。

應(yīng)重點(diǎn)關(guān)注的問題：現(xiàn)在是否有各種各樣的數(shù)據(jù)源和分析工具來有效地處理事件，并在很長的時(shí)間內(nèi)將其關(guān)聯(lián)起來?是否有現(xiàn)成工具用于實(shí)時(shí)攻擊檢測(cè)？

思考3：在分析攻擊活動(dòng)時(shí)，如何實(shí)現(xiàn)時(shí)間和資源效率的最優(yōu)化？

在拼湊和分析攻擊活動(dòng)時(shí)，手動(dòng)關(guān)聯(lián)和調(diào)查不同的威脅來源極大地增加了CISO及其團(tuán)隊(duì)所需的時(shí)間和資源。安全團(tuán)隊(duì)想要查明問題所在，需要從多個(gè)系統(tǒng)中提取數(shù)據(jù)，這是必要的。但在這段時(shí)間里，危害可能早已釀成。這個(gè)挑戰(zhàn)很容易讓投入大量時(shí)間和金錢來建立安全運(yùn)營計(jì)劃的CISO頗感沮喪。

應(yīng)重點(diǎn)關(guān)注的問題：當(dāng)前的團(tuán)隊(duì)是否必須進(jìn)行大量的手動(dòng)關(guān)聯(lián)?面對(duì)持續(xù)數(shù)周乃至數(shù)月的事件，他們?nèi)绾瓮瓿蛇@項(xiàng)工作?與其他IT團(tuán)隊(duì)合作時(shí)，安全團(tuán)隊(duì)是否必須借助多種工具，并自行結(jié)合上下文，才能完成相應(yīng)的工作？

思考4：如何面對(duì)團(tuán)隊(duì)安全能力不足的現(xiàn)狀？

如今，市場(chǎng)上沒有足夠多業(yè)務(wù)熟練的網(wǎng)絡(luò)安全專業(yè)人員，企業(yè)很難招聘到在網(wǎng)絡(luò)、服務(wù)器及IT其他方面受過良好培訓(xùn)、經(jīng)驗(yàn)豐富的從業(yè)人員，CISO被迫雇傭更多缺乏從業(yè)經(jīng)驗(yàn)的分析師。這些分析師需要更多的在職培訓(xùn)和經(jīng)驗(yàn)，才能勝任崗位。

應(yīng)重點(diǎn)關(guān)注的問題：TDIR(威脅檢測(cè)調(diào)查與響應(yīng))平臺(tái)如何自動(dòng)執(zhí)行某些任務(wù)？它如何提供必要的上下文來幫助經(jīng)驗(yàn)不足的分析師逐漸學(xué)習(xí)、不斷提升？

思考5：如何透過產(chǎn)業(yè)的泡沫，找到真正滿足需求的產(chǎn)品及供應(yīng)商？

很多時(shí)候，供應(yīng)商們?cè)诩夹g(shù)、資源、經(jīng)驗(yàn)方面都會(huì)存在一些不足，難以滿足企業(yè)的實(shí)際需求。例如，在威脅檢測(cè)方面，一些供應(yīng)商聲稱自己支持機(jī)器學(xué)習(xí)、人工智能、多云支持及應(yīng)用風(fēng)險(xiǎn)指標(biāo)，但在實(shí)際落地時(shí)卻無法兌現(xiàn)承諾。

應(yīng)重點(diǎn)關(guān)注的問題：解決方案是否真正使用基于規(guī)則的機(jī)器學(xué)習(xí)/人工智能？多云是否只是進(jìn)行關(guān)聯(lián)，而沒有進(jìn)一步的分析，最終仍然需要由人工確定是否發(fā)生了跨多云環(huán)境的攻擊？風(fēng)險(xiǎn)評(píng)分是否只是從公共來源匯總的評(píng)分，而不是利用基于分析工具的企業(yè)級(jí)風(fēng)險(xiǎn)引擎？

思考6：如何實(shí)現(xiàn)安全投入與防護(hù)效果之間的平衡？

供應(yīng)商常常會(huì)根據(jù)用戶獲取的數(shù)據(jù)量向其收費(fèi)，當(dāng)組織規(guī)模壯大后，按獲取的數(shù)據(jù)量收費(fèi)變得不可預(yù)測(cè)，會(huì)導(dǎo)致成本(許可和存儲(chǔ))的急劇上升。CISO應(yīng)尋找能夠減輕這種成本負(fù)擔(dān)，又能夠讓組織獲取盡可能多數(shù)據(jù)的解決方案。

應(yīng)重點(diǎn)關(guān)注的問題：解決方案是否會(huì)因?yàn)楂@取更多數(shù)據(jù)而支付更多費(fèi)用？它是否提供更好的可見性，并通過提供靈活的許可做到這一點(diǎn)？供應(yīng)商如何幫助組織降低安全建設(shè)成本？

思考7：如何利用自動(dòng)化技術(shù)來提升安全檢測(cè)能力？

通過自動(dòng)化手段可以讓安全團(tuán)隊(duì)將注意力集中在更繁重的任務(wù)上，如果方法得當(dāng)，還可以節(jié)省運(yùn)營支出。這意味著花在低價(jià)值的簡單手動(dòng)任務(wù)上的時(shí)間和資源會(huì)更少，為處理高價(jià)值的任務(wù)縮短了時(shí)間。自動(dòng)化手段還可以為初級(jí)分析師提供更好的體驗(yàn)，可以讓他們不斷學(xué)習(xí)和改進(jìn)。但并非所有的自動(dòng)化天生都一樣。如果解決方案產(chǎn)生太多的干擾和誤報(bào)，用戶很難確定調(diào)查優(yōu)先級(jí)、實(shí)現(xiàn)響應(yīng)自動(dòng)化。

應(yīng)重點(diǎn)關(guān)注的問題：自動(dòng)化手段是否貫穿于整個(gè)SOC生命周期?如果是這樣，怎么知道自動(dòng)化在發(fā)揮功效？怎么相信它在優(yōu)化安全運(yùn)營？

參考鏈接：https://www.helpnetsecurity.com/2022/05/05/cisos-threat-detection-challenges/