許多安全負責人仍然對他們企業(yè)最近遭遇的安全事件的原因一無所知，這讓人質疑他們到底能學到多少。

三分之一的公司仍然不知道過去一年導致他們數據安全事件的原因，四分之三的公司表示，理解他們的安全技術堆棧正變得越來越復雜——這兩項關鍵數據凸顯了安全團隊在遭到入侵后改進運營所面臨的挑戰(zhàn)。

根據Foundry/CSO的《2024年安全優(yōu)先級研究》，只有67%的安全負責人了解過去12個月內導致他們企業(yè)數據安全事件的原因。

由于多個因素相互交織，檢測安全事件原因的工作已變得越來越復雜。

首先，確定是否發(fā)生安全事件本身就是一項重大挑戰(zhàn)。根據IBM的一份報告，公司平均需要207天才能發(fā)現(xiàn)安全事件，而遏制安全事件還需要額外的70天。因此，至少在初始訪問九個月后，根本原因分析才可能成為焦點，這使得企業(yè)很難查明原因并從安全事件中吸取教訓。

此外，發(fā)現(xiàn)安全事件并了解其起因正變得越來越具有挑戰(zhàn)性，尤其是因為攻擊者變得越來越擅長逃避檢測。

安全意識平臺SoSafe的首席安全官(CSO)Andrew Rose表示：“如今的攻擊往往是由人工智能驅動且經過精心設計以實現(xiàn)隱蔽性，這使得在攻擊初期很難檢測到它們。財務限制和網絡安全專業(yè)人才短缺意味著許多企業(yè)缺乏迅速識別、調查和追蹤威脅的資源。”

遠程工作環(huán)境和物聯(lián)網設備的安全挑戰(zhàn)加劇了這些問題，其中許多設備在設計時根本沒有考慮安全性，留下了攻擊者可以輕易利用的漏洞。

Foundry采訪的安全專家將檢測安全事件的問題分解為以下不同的挑戰(zhàn)。

缺乏適當的檢測和監(jiān)測系統(tǒng)

發(fā)現(xiàn)安全事件的根本原因依賴于強大的監(jiān)測和取證能力。當安全運營被外包時(這種情況越來越多)，對業(yè)務的不熟悉可能會成為一個問題。

KnowBe4的首席信息安全官(CISO)Brian Jack表示，在他調查的安全事件中，反復出現(xiàn)了一些因素。

“我多次看到，由于安全運營中心(SOC)的功能大部分被外包給第三方，而第三方未能通知客戶可疑事件，導致安全事件長時間未被發(fā)現(xiàn)。”Jack解釋道。

他說：“第三方SOC往往缺乏知識，而不是技能，來判斷觸發(fā)警報的某些事件是否值得調查。在SOC中，了解業(yè)務、了解人員以及可能發(fā)生的企業(yè)變革是非常有幫助的?！?/p>

事件響應規(guī)劃不完善

制定清晰的事件響應計劃可以讓企業(yè)為調查并發(fā)現(xiàn)安全事件根本原因的任務做好準備，以防安全事件發(fā)生。

Daisy Corporate Services的安全戰(zhàn)略顧問Paul McLatchie告訴記者：“網絡安全事件不是‘是否’會發(fā)生的問題，而是‘何時’會發(fā)生的問題，這就是為什么企業(yè)必須通過制定和遵循事件響應計劃來做好準備?！?/p>

網絡事件響應的重點是快速識別企業(yè)內的安全事件和事故，驗證其范圍和影響，并采取有效的緩解和補救措施來應對。響應計劃還必須延伸到事件后分析和經驗教訓的考慮，以便能夠確定安全事件的根本原因并吸取防止其再次發(fā)生的教訓。

了解安全事件的原因并防范未來問題很重要，因為無法從事件中吸取教訓的企業(yè)將很容易再次遭到入侵。

McLatchie說：“計劃無效或步驟不精確都會導致問題。企業(yè)經常會忽略事件響應計劃的最后階段，并急于恢復運營。”

McLatchie警告說：“這會導致對安全事件的根本原因分析不充分，或者在某些情況下，關鍵證據被意外銷毀?！?/p>

KnowBe4的Jack同意，從長遠來看，徹底分析是很有價值的。

他說：“對所有資產盡可能保持日志可見性，并長時間保留這些日志以進行充分覆蓋來開展調查，可能會很昂貴，但是，這對于早期檢測和徹底調查關鍵安全事件非常重要?！?/p>

預算限制

安全預算捉襟見肘，因此許多企業(yè)未能投資于能夠更容易地追蹤安全事件源頭的資源。

Check Point Software的公共部門負責人Graeme Stewart表示，人員配備有限和程序上的漏洞加劇了檢測安全事件的挑戰(zhàn)。

Stewart說：“由于預算緊張和人員壓力，讓系統(tǒng)恢復在線成為當務之急，這通常意味著先滅火，然后清理后果，最后才了解最初是什么導致了問題。”

預算有限往往導致團隊人員不足、根本原因分析能力有限以及取證能力不足。

網絡安全專家、OnSecurity(一家滲透測試平臺)的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Conor O’Neill表示，中小型企業(yè)在及時發(fā)現(xiàn)問題方面尤其面臨挑戰(zhàn)。

他說：“由于預算有限、缺乏內部安全功能和缺乏知道如何處理和預防數據泄露的訓練有素的工作人員，小型企業(yè)比大型企業(yè)更容易受到網絡攻擊，而所有這些對于識別數據泄露至關重要。”

攻擊越來越復雜且隱蔽

安全公司Rapid7的高級副總裁兼首席科學家Raj Samani表示，隨著攻擊變得越來越復雜，解開問題原因可能會變得更加困難。

他說：“我們必須承認，許多威脅企業(yè)會采取措施來掩蓋他們的蹤跡，這通常會使任何調查都更具挑戰(zhàn)性，然而，這只是識別安全事件源頭如此困難的部分原因?！?/p>

Samani補充說：“雖然技術將輔助調查，但回顧此類事件所花費的時間往往與下一個問題的緊迫性或確實需要讓環(huán)境再次運行起來的需求相沖突?！?/p>

許多安全事件在發(fā)生后很久才被發(fā)現(xiàn)，而延遲會使確定根本原因變得更加困難。在這種情況下，時間是攻擊者的幫兇，因為隨著數據的修改、覆蓋和刪除，計算機取證能力會隨著時間的推移而減弱。

Spectrum Search的首席技術官(CTO)Peter Wood表示：“黑客總是在尋找新方法來融入正常的網絡流量中，因此即使是最好的檢測系統(tǒng)也可能會在與威脅進行永無止境的‘打地鼠’游戲中落敗。雖然系統(tǒng)可能會標記出可疑的東西，但要確切地找出它的起源又是另一回事。”

Immersive Labs的技術產品管理總監(jiān)David Spencer補充說，攻擊者越來越多地竊取和使用合法的用戶憑據來逃避檢測、在系統(tǒng)之間橫向移動并與正常網絡活動融合在一起。

他說：“情況進一步復雜化，因為大多數攻擊都涉及從明文文件、密碼管理器或內存轉儲中捕獲憑據，這使得幾乎無法區(qū)分攻擊者和受害者，這就像在一堆越來越多的針中尋找一根[特定的]針?！?/p>

過于復雜(且脫節(jié))的安全技術堆棧

安全技術堆棧的復雜性也是一個日益嚴重的問題。

美國律師事務所Varghese Summersett的創(chuàng)始人兼管理合伙人Benson Varghese表示：“許多公司使用多個系統(tǒng)、應用程序和工具，它們往往無法集成?！?/p>

就像拼圖缺少了一些碎片一樣，當系統(tǒng)無法配合在一起時，就很難確定安全事件發(fā)生的位置。

Varghese告訴記者：“我的客戶使用了一些安全解決方案的組合，其中一些已經過時或無法通信。由于他們的監(jiān)測系統(tǒng)沒有與他們的安全基礎設施對齊，因此他們的安全事件幾個月都沒有被發(fā)現(xiàn)。”

Varghese補充說：“當他們意識到發(fā)生了什么時，已經為時已晚。”

許多公司背負著技術債務，依賴于缺乏全面日志記錄功能的過時系統(tǒng)，這使得詳細跟蹤和分析事件變得困難。

Logpoint的首席安全研究員Kennet Harps?e表示：“檢測與監(jiān)測是存在的主要問題之一，而日益復雜的安全技術堆棧使這一問題更加復雜。如果工具之間不能協(xié)同集成，關鍵的安全威脅指標很容易遺漏或延遲，導致安全團隊被海量的數據淹沒——在這種情況下，真正的信號往往淹沒在誤報的噪聲中?！?/p>

倫敦都市大學的高級應用分析師Ben Jarlett告訴記者：“安全信息和事件管理(SIEM)系統(tǒng)以及擴展檢測和響應(XDR)平臺可以提供幫助，但它們需要適當的調優(yōu)、定期更新和熟練的管理才能發(fā)揮效用。”

Jarlett補充說：“在許多情況下，公司要么沒有充分利用這些系統(tǒng)，要么面臨大量誤報的困擾，這可能掩蓋真正的威脅并延遲識別根本原因?！?/p>

Trend Micro的SecOps和威脅情報負責人Lewis Duke認為，整合安全技術堆?？梢杂兴鶐椭?/p>

他說：“當利用整合和相關的工具來提供真實的上下文并消除調查時的運營開銷時，企業(yè)會做得更好，這就是為什么我們看到行業(yè)正在向基于平臺的安全策略轉變，這種策略可以實現(xiàn)更快、更有效的事件響應(IR)，同時在降低技術堆棧所需成本和技能方面帶來明顯的好處?！?/p>

警報疲勞

安全監(jiān)測系統(tǒng)每天都會生成數百萬條警報，使SOC不堪重負，并更難隔離惡意行為。

許多安全系統(tǒng)生成的大量誤報警報造成了一個棘手的“信噪比”問題。Logpoint的Harps?e表示：“分析師經常被大量警報淹沒，這使得隔離真正威脅并確定其根本原因成為一項艱巨的任務?！?/p>

最終，解決這些挑戰(zhàn)需要改進檢測工具的集成、更有效地優(yōu)先處理警報，并戰(zhàn)略性地強調保持對所有資產的全面可見性。

企業(yè)文化阻礙有效的安全戰(zhàn)略

一些企業(yè)可能沒有完全將網絡安全作為企業(yè)文化的一部分來優(yōu)先考慮，這使得查明根本原因變得極其困難。

倫敦都市大學的Jarlett表示：“盡管認識到安全的重要性，但許多公司主要集中在監(jiān)管合規(guī)上，投資于網絡安全工具以滿足最低標準，而沒有培養(yǎng)積極主動的安全意識?！?/p>

Okta負責EMEA地區(qū)的首席安全官Stephen McDermid認為，安全負責人需要帶頭建立開放且響應迅速的企業(yè)安全文化。

McDermid說：“首席安全官(CSO)有責任鼓勵人們讓威脅可見并升級潛在風險。如果員工害怕提出問題并試圖獨自解決，這可能會延遲關鍵響應?！?/p>

行動計劃

公司可以通過投資于改進網絡安全措施、員工培訓、事件響應規(guī)劃以及檢測和取證能力的投資來提高其韌性。

OnSecurity的O’Neill表示：“使用漏洞掃描器和滲透測試等工具來預防數據泄露，這些工具可以在漏洞和潛在安全事件發(fā)生之前識別它們?！?/p>