CISO們面對新型威脅挑戰時應做的7點思考

最新研究數據顯示，在2021年發現的惡意軟件新型變種超過1.7億個，這讓企業組織的CISO及其團隊在識別和阻止這些新威脅時面臨巨大的壓力。同時，他們還要面對各種挑戰：技能短缺、手動關聯數據、鑒別誤報和開展漫長的調查等。

為了確保企業的安全運營計劃能夠順暢執行，現代CISO們在日常工作中，應該做好以下7個方面的思考和準備，以實現更加高效的安全威脅檢測與響應，保障企業數字化業務的穩定開展。

思考1：當安全事件數量不斷增加時，如何快速識別真正的威脅？

隨著數字化應用的不斷深入，安全團隊面對的安全事件在不斷增加，其增速通常會超過安全團隊自身的能力成長。任何CISO都不希望其團隊將時間浪費在類似密碼誤輸入引起的登錄失敗事件上，因此需要能夠有效關聯和分析這些安全事件數據，消除誤報信息，發現真正的威脅活動。

應重點關注的問題：企業能否關聯來自任何來源（比如日志、云、應用程序、網絡和端點等）的數據？能否全面監控所有系統，獲取所需的全部檢測數據，并自動執行關聯？關聯所有這些系統的成本又是多少？

思考2：如何實現有連續性的數據關聯及分析？

大數據分析技術已經在網絡安全領域普遍應用，這就像從裝滿拼塊的盒子里取出合適的一塊完成拼圖一樣。在網絡上識別出一次攻擊可能并不困難，但一旦威脅分子潛入環境，常常會在較長時間內（幾天、幾周甚至幾個月）潛伏并進行試探性攻擊，分析人員幾乎不可能長時間處理這些看似不同的事件，并將它們聯系起來以洞察全局。大多數工具還難以將這些看似獨立的事件關聯起來，并識別出這是同一起攻擊。CISO需要在預算有限的情況下動用一切資源，確保在重大危害發生前洞悉企業全局安全狀況。

應重點關注的問題：現在是否有各種各樣的數據源和分析工具來有效地處理事件，并在很長的時間內將其關聯起來？是否有現成工具用于實時攻擊檢測？

思考3：在分析攻擊活動時，如何實現時間和資源效率的最優化？

在拼湊和分析攻擊活動時，手動關聯和調查不同的威脅來源極大地增加了CISO及其團隊所需的時間和資源。安全團隊想要查明問題所在，需要從多個系統中提取數據，這是必要的。但在這段時間里，危害可能早已釀成。這個挑戰很容易讓投入大量時間和金錢來建立安全運營計劃的CISO頗感沮喪。

應重點關注的問題：當前的團隊是否必須進行大量的手動關聯？面對持續數周乃至數月的事件，他們如何完成這項工作？與其他IT團隊合作時，安全團隊是否必須借助多種工具，并自行結合上下文，才能完成相應的工作？

思考4：如何面對團隊安全能力不足的現狀？

如今，市場上沒有足夠多業務熟練的網絡安全專業人員，企業很難招聘到在網絡、服務器及IT其他方面受過良好培訓、經驗豐富的從業人員，CISO被迫雇傭更多缺乏從業經驗的分析師。這些分析師需要更多的在職培訓和經驗，才能勝任崗位。

應重點關注的問題：TDIR（威脅檢測調查與響應）平臺如何自動執行某些任務？它如何提供必要的上下文來幫助經驗不足的分析師逐漸學習、不斷提升？

思考5：如何透過產業的泡沫，找到真正滿足需求的產品及供應商？

很多時候，供應商們在技術、資源、經驗方面都會存在一些不足，難以滿足企業的實際需求。例如，在威脅檢測方面，一些供應商聲稱自己支持機器學習、人工智能、多云支持及應用風險指標，但在實際落地時卻無法兌現承諾。

應重點關注的問題：解決方案是否真正使用基于規則的機器學習/人工智能？多云是否只是進行關聯，而沒有進一步的分析，最終仍然需要由人工確定是否發生了跨多云環境的攻擊？風險評分是否只是從公共來源匯總的評分，而不是利用基于分析工具的企業級風險引擎？

思考6：如何實現安全投入與防護效果之間的平衡？

供應商常常會根據用戶獲取的數據量向其收費，當組織規模壯大后，按獲取的數據量收費變得不可預測，會導致成本（許可和存儲）的急劇上升。CISO應尋找能夠減輕這種成本負擔，又能夠讓組織獲取盡可能多數據的解決方案。

應重點關注的問題：解決方案是否會因為獲取更多數據而支付更多費用？它是否提供更好的可見性，并通過提供靈活的許可做到這一點？供應商如何幫助組織降低安全建設成本？

思考7：如何利用自動化技術來提升安全檢測能力？

通過自動化手段可以讓安全團隊將注意力集中在更繁重的任務上，如果方法得當，還可以節省運營支出。這意味著花在低價值的簡單手動任務上的時間和資源會更少，為處理高價值的任務縮短了時間。自動化手段還可以為初級分析師提供更好的體驗，可以讓他們不斷學習和改進。但并非所有的自動化天生都一樣。如果解決方案產生太多的干擾和誤報，用戶很難確定調查優先級、實現響應自動化。

應重點關注的問題：自動化手段是否貫穿于整個SOC生命周期？如果是這樣，怎么知道自動化在發揮功效？怎么相信它在優化安全運營？