檢測入侵原因變得更加復(fù)雜

Foundry/CSO發(fā)布的2024年安全優(yōu)先級研究顯示，在過去12個(gè)月中，只有67%的安全主管了解其組織發(fā)生數(shù)據(jù)安全事件的具體原因。

這是多個(gè)因素共同作用的結(jié)果。

首先，識別入侵的發(fā)生本身就是一個(gè)重大挑戰(zhàn)。根據(jù)IBM的一份報(bào)告，企業(yè)平均需要207天才能發(fā)現(xiàn)入侵，還需要額外70天進(jìn)行遏制。這意味著從最初入侵到完成根因分析可能需要長達(dá)9個(gè)月的時(shí)間，這給組織定位原因并從安全事件中吸取教訓(xùn)帶來了巨大壓力。

許多入侵在發(fā)生很久后才被發(fā)現(xiàn)，這種延遲使得識別根本原因變得更加困難。隨著數(shù)據(jù)被修改、覆蓋和刪除，計(jì)算機(jī)取證能力會隨時(shí)間推移而減弱。

Spectrum Search的CTO Peter Wood表示："黑客總是在尋找新的方法融入常規(guī)網(wǎng)絡(luò)流量，因此即使是最好的檢測系統(tǒng)，最終也可能陷入與威脅永無止境的'打地鼠'游戲中。雖然系統(tǒng)可能會標(biāo)記可疑的內(nèi)容，但要確定它究竟從何處開始則是另一回事。"

其次，當(dāng)前攻擊手段日益復(fù)雜和隱蔽，發(fā)現(xiàn)安全事件并理解其起源變得越來越具有挑戰(zhàn)性。

SoSafe平臺CSO Andrew Rose表示："當(dāng)今的攻擊通常由AI驅(qū)動(dòng)，專為隱蔽性設(shè)計(jì)，這使得在入侵初期就發(fā)現(xiàn)漏洞變得極其困難。由于財(cái)務(wù)限制和網(wǎng)絡(luò)安全專業(yè)人才短缺，許多組織缺乏快速識別、調(diào)查和追蹤威脅的資源。"

Rapid7的SVP兼首席科學(xué)家Raj Samani表示，許多威脅組織都采取措施掩蓋其蹤跡，這無疑使任何調(diào)查都變得更具挑戰(zhàn)性。然而，他分析說，這通常只是識別入侵源頭如此困難的部分原因，因?yàn)殡m然技術(shù)能夠輔助調(diào)查，但回溯審查此類事件所花費(fèi)的時(shí)間往往要與解決下一個(gè)緊急問題，也就是讓環(huán)境重新運(yùn)轉(zhuǎn)的需求形成競爭。

Immersive Labs技術(shù)產(chǎn)品管理總監(jiān)David Spencer補(bǔ)充說，攻擊者越來越多地竊取和使用合法用戶憑據(jù)來規(guī)避檢測，在系統(tǒng)間橫向移動(dòng)，并融入常規(guī)網(wǎng)絡(luò)活動(dòng)。他說："由于大多數(shù)攻擊都涉及從明文文件、密碼管理器或內(nèi)存轉(zhuǎn)儲中獲取憑據(jù)，這使得幾乎不可能區(qū)分攻擊者和受害者。這就像在不斷增長的針堆中尋找一根特定的針。"

網(wǎng)絡(luò)安全管理的6大漏洞

除了客觀上網(wǎng)絡(luò)攻擊手段日益復(fù)雜化、多樣化外，企業(yè)自身的信息安全管理存在的漏洞也是一個(gè)不容忽視的重要因素。大量企業(yè)對其遭遇的安全事件原因無從知曉，折射出當(dāng)前企業(yè)信息安全管理中普遍存在的六大關(guān)鍵漏洞。

1.檢測監(jiān)控體系失效

查找入侵的根本原因依賴強(qiáng)大的監(jiān)控和取證能力。而當(dāng)安全運(yùn)營被外包時(shí)，這種情況越來越普遍，可能是外包機(jī)構(gòu)對業(yè)務(wù)不夠熟悉。

KnowBe4的CISO Brian Jack就指出，在他調(diào)查過的漏洞中，一些因素反復(fù)出現(xiàn)，并多次看到入侵長期未被發(fā)現(xiàn)的情況。這是因?yàn)镾OC（安全運(yùn)營中心）功能在很大程度上外包給了第三方，而該第三方未能及時(shí)通知客戶可疑事件。

他解釋說："第三方SOC往往缺乏知識而非技能，難以判斷某些觸發(fā)警報(bào)的事件是否值得調(diào)查。在SOC中，了解業(yè)務(wù)、人員構(gòu)成以及可能發(fā)生的組織變化非常重要。"

安全牛建議

優(yōu)化檢測監(jiān)控體系，建立混合安全運(yùn)營模式：

• 將外包團(tuán)隊(duì)與內(nèi)部安全團(tuán)隊(duì)有機(jī)結(jié)合；
• 為外包安全團(tuán)隊(duì)提供必要的業(yè)務(wù)培訓(xùn)和場景演練；
• 定期評估和更新檢測規(guī)則，確保與業(yè)務(wù)發(fā)展同步；
• 建立清晰的溝通機(jī)制，確保外包團(tuán)隊(duì)能夠及時(shí)上報(bào)可疑事件。

2.應(yīng)急響應(yīng)計(jì)劃規(guī)劃不力

制定清晰的事件響應(yīng)計(jì)劃可以幫助組織做好調(diào)查和發(fā)現(xiàn)入侵根本原因的準(zhǔn)備。

Daisy Corporate Services的安全策略顧問Paul McLatchie表示："網(wǎng)絡(luò)入侵已不再是'是否發(fā)生'的問題，而是'何時(shí)發(fā)生'的問題，這就是為什么組織必須制定并遵循事件響應(yīng)計(jì)劃。"

網(wǎng)絡(luò)事件響應(yīng)的重點(diǎn)在于快速識別組織內(nèi)的安全事件和突發(fā)事件，驗(yàn)證其范圍和影響，并采取有效的緩解和補(bǔ)救措施。響應(yīng)計(jì)劃還必須延伸到事后分析和經(jīng)驗(yàn)教訓(xùn)總結(jié)，以便識別入侵的根本原因并吸取教訓(xùn)，防止類似事件再次發(fā)生。

理解入侵原因并防范未來問題非常重要，因?yàn)闊o法從事件中吸取教訓(xùn)的組織很容易遭受進(jìn)一步的入侵。

"計(jì)劃無效或步驟執(zhí)行不夠嚴(yán)格都會導(dǎo)致問題。組織往往會忽視事件響應(yīng)計(jì)劃的最后階段，急于恢復(fù)運(yùn)營。"McLatchie警告說："這會導(dǎo)致對入侵的根本原因分析不充分，在某些情況下，關(guān)鍵證據(jù)甚至?xí)粺o意中破壞。"

KnowBe4的Jack也認(rèn)為，從長遠(yuǎn)來看，全面分析非常有價(jià)值。他說："對盡可能多的資產(chǎn)保持日志可見性，并將這些日志保留足夠長的時(shí)間以確保調(diào)查覆蓋面。這可能代價(jià)高昂，但對于及早發(fā)現(xiàn)和完整調(diào)查關(guān)鍵入侵事件很重要。"

安全牛建議

完善應(yīng)急響應(yīng)機(jī)制：

• 制定詳細(xì)的應(yīng)急響應(yīng)預(yù)案，并定期進(jìn)行演練和更新；
• 建立專門的取證團(tuán)隊(duì)，確保關(guān)鍵證據(jù)得到妥善保存；
• 設(shè)置合理的恢復(fù)時(shí)間目標(biāo)，平衡業(yè)務(wù)恢復(fù)和事件調(diào)查的需求；
• 強(qiáng)制執(zhí)行事后分析流程，確保每個(gè)事件都得到充分復(fù)盤。

3.預(yù)算投入失衡

安全預(yù)算捉襟見肘，使得許多企業(yè)無法投資那些能夠更輕松追蹤入侵源頭的資源。

Check Point Software公共部門負(fù)責(zé)人Graeme Stewart表示，人員配備有限和流程差距加劇了入侵檢測的挑戰(zhàn)。

他說："在預(yù)算緊張和人員壓力下，讓系統(tǒng)重新上線成為首要關(guān)注點(diǎn)。這通常意味著先滅火，然后清理后果，最后才去理解起因。"

預(yù)算有限往往導(dǎo)致人手不足、根因分析能力有限和取證能力不足。

OnSecurity的CEO兼聯(lián)合創(chuàng)始人、網(wǎng)絡(luò)安全專家Conor O'Neill表示，中小型企業(yè)在及時(shí)識別問題方面面臨特殊挑戰(zhàn)。

他說："小型企業(yè)比大型企業(yè)更容易受到網(wǎng)絡(luò)攻擊，這是因?yàn)轭A(yù)算有限、缺乏內(nèi)部安全職能部門，以及缺乏知道如何處理和預(yù)防數(shù)據(jù)泄露的訓(xùn)練有素的員工，而這些都是識別數(shù)據(jù)泄露的關(guān)鍵。"

安全牛建議

合理分配安全預(yù)算：

• 采用分層投入策略，優(yōu)先保護(hù)核心資產(chǎn)；
• 引入安全投資回報(bào)率（ROSI）評估模型；
• 考慮使用托管安全服務(wù)（MSS），平衡成本和效果；
•  建立安全預(yù)算儲備機(jī)制，應(yīng)對突發(fā)安全事件。

4.技術(shù)棧割裂失控

安全技術(shù)棧的復(fù)雜性也是一個(gè)日益嚴(yán)重的問題。

美國律師事務(wù)所Varghese Summersett的創(chuàng)始人兼管理合伙人Benson Varghese表示："許多公司使用多個(gè)系統(tǒng)、應(yīng)用程序和工具，這些工具往往無法整合。"

當(dāng)系統(tǒng)無法協(xié)同工作時(shí)，確定入侵發(fā)生的位置就變得很困難，這就像在缺失關(guān)鍵碎片的情況下試圖完成一個(gè)拼圖。

"我有客戶使用多種安全解決方案，其中一些已經(jīng)過時(shí)或無法相互通信。有的客戶被入侵幾個(gè)月都未發(fā)現(xiàn)，因?yàn)樗麄兊谋O(jiān)控系統(tǒng)與安全基礎(chǔ)設(shè)施不匹配。"Varghese舉例說："當(dāng)他們意識到發(fā)生了什么時(shí)，線索已經(jīng)涼了。"

許多企業(yè)背負(fù)著技術(shù)債務(wù)，依賴缺乏全面日志記錄功能的過時(shí)系統(tǒng)，這使得詳細(xì)追蹤和分析事件變得困難。

Logpoint的首席安全研究員Kennet Harps?e表示："主要問題之一在于檢測和監(jiān)控（失效），而日益復(fù)雜的安全技術(shù)棧更是雪上加霜。如果工具之間缺乏緊密集成，關(guān)鍵的入侵指標(biāo)很容易被錯(cuò)過或延遲發(fā)現(xiàn)，這讓安全團(tuán)隊(duì)被海量數(shù)據(jù)淹沒。在這種情況下，有效信號往往淹沒在虛假警報(bào)的噪音中。"

倫敦城市大學(xué)高級應(yīng)用分析師Ben Jarlett指出，安全信息和事件管理（SIEM）系統(tǒng)和擴(kuò)展檢測響應(yīng)（XDR）平臺可以提供幫助，但它們需要適當(dāng)?shù)恼{(diào)優(yōu)、定期的更新和熟練的管理才能發(fā)揮作用。但是在許多情況下，企業(yè)要么未充分利用這些系統(tǒng)，要么面臨大量虛假警報(bào)的困擾，這會掩蓋真實(shí)的威脅并延遲根本原因的識別。

Trend Micro的SecOps和威脅情報(bào)負(fù)責(zé)人Lewis Duke認(rèn)為，整合安全技術(shù)棧可以提供幫助。他說："當(dāng)使用整合的、相關(guān)聯(lián)的工具來提供真實(shí)上下文并減少調(diào)查過程中的運(yùn)營開銷時(shí)，組織的準(zhǔn)備會更充分。這就是為什么我們看到行業(yè)正在向基于平臺的安全策略轉(zhuǎn)變。這種策略能實(shí)現(xiàn)更快速、更有效的事件響應(yīng)（IR），同時(shí)在運(yùn)營精簡技術(shù)棧所需的成本和技能方面也有明顯優(yōu)勢。"

安全牛建議

整合安全技術(shù)棧：

• 制定統(tǒng)一的安全架構(gòu)規(guī)劃，避免重復(fù)建設(shè)；
• 優(yōu)先選擇具有開放接口的安全產(chǎn)品，確保系統(tǒng)間互通；
• 建立統(tǒng)一的安全數(shù)據(jù)湖，實(shí)現(xiàn)數(shù)據(jù)的集中分析；
• 逐步淘汰過時(shí)系統(tǒng)，降低技術(shù)債務(wù)。

5.告警處理流程失效

安全監(jiān)控系統(tǒng)每天產(chǎn)生數(shù)百萬條告警，這讓SOC不堪重負(fù)，也使得隔離惡意行為變得更加困難。

許多安全系統(tǒng)產(chǎn)生的大量虛假警報(bào)造成了令人不堪重負(fù)的"信噪比"問題。Logpoint的Harps?e說："分析師經(jīng)常被告警淹沒，這使得隔離真實(shí)威脅并確定其根本原因成為一項(xiàng)艱巨的任務(wù)。"

為了應(yīng)對這些挑戰(zhàn)，需要改進(jìn)檢測工具的整合、更有效的告警優(yōu)先級排序，以及在戰(zhàn)略上強(qiáng)調(diào)維護(hù)對所有資產(chǎn)的全面可見性。

安全牛建議

提升告警質(zhì)量：

• 實(shí)施多層級的告警過濾機(jī)制；
• 利用AI技術(shù)進(jìn)行告警關(guān)聯(lián)分析和自動(dòng)化處理；
• 建立告警優(yōu)先級評估體系；
• 定期優(yōu)化告警規(guī)則，減少誤報(bào)率。

6.安全文化建設(shè)缺位

一些組織可能沒有將網(wǎng)絡(luò)安全作為企業(yè)文化的重要組成部分，這使得發(fā)現(xiàn)網(wǎng)絡(luò)安全事件根本原因變得極其困難。

倫敦城市大學(xué)的Jarlett表示："盡管認(rèn)識到安全的重要性，許多公司主要關(guān)注合規(guī)性，投資網(wǎng)絡(luò)安全工具僅僅是為了滿足最低標(biāo)準(zhǔn)，而沒有培養(yǎng)主動(dòng)的安全意識。"

Okta的EMEA區(qū)CSO Stephen McDermid認(rèn)為，安全領(lǐng)導(dǎo)者需要帶頭打造開放和響應(yīng)迅速的企業(yè)安全文化。

McDermid說："CSO的責(zé)任是鼓勵(lì)人們讓威脅變得可見并及時(shí)上報(bào)潛在風(fēng)險(xiǎn)。如果員工害怕提出問題并試圖獨(dú)自解決，這可能會延遲關(guān)鍵響應(yīng)。"

安全牛建議

強(qiáng)化安全文化建設(shè)：

• 將安全意識培訓(xùn)納入員工考核體系；
• 建立安全事件報(bào)告激勵(lì)機(jī)制；
• 定期舉辦安全知識分享會；
• 高管帶頭參與安全文化建設(shè)。