CISO面臨的七個威脅檢測挑戰
在本文中,我們將探討CISO在威脅檢測方面面臨的主要挑戰,以及改進安全運營的關鍵問題。
今天,企業安全運營團隊面臨的最大挑戰就是威脅檢測的難度不斷加大,因為惡意軟件變種和新型攻擊技術正在快速增長。根據最新研究,僅2021年全球就發現了超過1.7億個新的惡意軟件變種。企業的CISO和安全團隊識別和阻止這些新威脅的負擔空前沉重。同時,他們還面臨著各種挑戰:人才與技能短缺、手動數據關聯、誤報、冗長的調查等等。
應對威脅檢測挑戰的關鍵是:CISO需要確保威脅檢測、調查和響應(TDIR)安全運營計劃的高效執行。下面我們將探討可能影響TDIR計劃的七個關鍵問題,以及CISO需要向其企業、安全運營團隊以及安全廠商提出的一些重點問題。
1.網絡中的危害指標(IoC)或安全事件太多,無法正確識別惡意活動。這是最為常見的問題之一,CISO正在尋找能夠有效關聯和分析這些數據以消除誤報的高級工具。任何企業或者機構的CISO都不希望安全團隊將時間浪費在諸如用戶多次輸入密碼導致登錄失敗這樣的無關緊要的誤報中。
重點問題:我能否關聯來自任何來源(如日志、云、應用程序、網絡、端點等)的數據?能否全面監控所有這些系統,獲取所需的所有遙測數據并自動執行關聯?關聯所有這些數據的成本是多少(即,我的安全解決方案提供商的要價是多少)?
2.隨著時間的推移,關聯數據變得愈發困難。這就像將一個裝滿多個謎題的盒子堆放在一起。單次攻擊可能很難識別。但是一旦攻擊者進入環境,他們通常會在較長時間內(有時幾天、幾周或幾個月后)進行一些小型活動。這使得人類分析師幾乎不可能跨時間處理這些看似不同的事件并將它們關聯起來以破解難題。
大多數安全工具還難以將這些看似獨立的事件關聯為同一攻擊的一部分,因為它們隨著時間的推移似乎沒有太多相關性。CISO的責任是確保安全團隊擁有所需的一切(基于有限的預算),以便在攻擊造成損害之前將難題拼湊在一起。
重點問題:是否有各種各樣的數據源和分析工具可以有效地處理事件,并將它們跨時間關聯?(產品和解決方案)是否提供開箱即用的威脅內容以用于實時攻擊檢測?
3.在拼湊還原攻擊活動時,手動關聯和調查不同的安全信息源大大增加了CISO及其團隊所需的時間和資源。一次從多個系統中提取數據對于獲取攻擊檢測(以及如何響應)所需的上下文信息是非常重要的。但在這段窗口時間內,攻擊損害可能已經造成。這很容易讓投入大量時間和金錢來建立和實施安全運營計劃的CISO感到沮喪。
重點問題:您當前的團隊是否必須進行大量手動關聯,他們如何對跨越數周甚至數月的事件進行手動關聯?在與其他IT團隊合作時,您的安全團隊是否必須自行搜索多種工具并組合上下文信息來發現制訂安全響應計劃所需的攻擊模式?
4.技能差距仍然是一個問題。隨著網絡、服務器和IT其他方面接受過培訓的經驗豐富的IT從業人員逐漸衰老退出勞動力市場,CISO被迫雇傭更多專注于安全技能的分析師,這導致網絡安全行業從業人員的IT經驗和技能寬度越來越窄,這導致對安全人員的培訓需求不斷增長,因為當今人才市場上沒有足夠多的熟練網絡安全專業人員。
重點問題:TDIR平臺如何自動執行某些任務并將正確的上下文信息呈現出來。它如何提供必要的上下文信息來幫助經驗不足的分析師在工作中學習成長?
5.安全廠商過度承諾和交付不足。在威脅檢測方面,太多安全廠商誤導或者夸大其產品功能,例如宣稱他們擁有機器學習(ML)、人工智能(AI)、多云支持和/或應用風險指標。CISO往往被安全廠商“圍攻”,但很多宣稱能夠提供靈丹妙藥的廠商往往無法兌現承諾。
重點問題:安全廠商的解決方案是否使用基于規則的ML/AI(本質上是靜態的、需要更新并且難以識別新的攻擊和惡意軟件變體,認識到這一點很重要)?多云是否只是進行關聯(由分析師確定是否跨多云發生攻擊)?風險評分是否只是公共來源的匯總評分(而不是基于分析的企業級風險引擎)?
6.成本和預算與更好的安全可見性之間的權衡可能是一個痛苦的選擇。CISO經常面對的安全平臺(如SIEM)會根據處理的數據量向企業收費。隨著企業的發展,按處理數據量收費是不可預測的,并且會迅速導致許可費用和存儲成本迅速上升。因此,CISO需要尋找能夠降低這種成本負擔的解決方案,同時又不影響企業提取和處理盡可能多的數據,實現更好的SOC可見性和更有效的TDIR。
重點問題:對于真正采用機器學習技術的解決方案,“投喂”的數據越多越好,但解決方案是否會因為處理更多數據而產生額外的成本或者負面影響?它是需要攝入更多數據才能提供更好的可見性?同時廠商是否提供靈活的許可收費機制幫助企業降低成本?安全廠商如何幫助企業降低存儲成本?
7.自動化可以提高效率并加快威脅檢測。自動化可以讓安全團隊成員將注意力更多集中在關鍵任務上,這將節省運營成本,因為花費在簡單和低價值手動任務上的時間和資源更少,同時也縮短了完成高價值任務的時間。自動化還可以為初級分析師提供更好的體驗,尤其是當您的分析和自動化是透明的時,分析師們可以在工作中不斷學習和改進。
但并非所有的自動化都是平等的。產生過多噪音和過多誤報的解決方案使安全團隊難以確定調查和自動響應的優先級。威脅檢測越準確,自動響應就越有針對性。
重點問題:安全解決方案中的自動化是否貫穿我的整個SOC生命周期?如果是這樣,我怎么知道它是有效的,我怎么能相信它正在優化我的操作(例如,它能否顯示我在殺傷鏈的早期阻止了威脅)?
當CISO及其安全運營團隊開始尋求改進威脅檢測時,將面臨與可見性、成本、靈活性(尤其是云環境)、分析、優先級、上下文數據等方面的諸多問題。只有找到正確的問題和知識,企業安全主管們才能進一步推動安全運營的優化工作。
(來源:@GoUpSec)
