許多安全負(fù)責(zé)人仍然對(duì)他們企業(yè)最近遭遇的安全事件的原因一無(wú)所知，這讓人質(zhì)疑他們到底能學(xué)到多少。

三分之一的公司仍然不知道過(guò)去一年導(dǎo)致他們數(shù)據(jù)安全事件的原因，四分之三的公司表示，理解他們的安全技術(shù)堆棧正變得越來(lái)越復(fù)雜——這兩項(xiàng)關(guān)鍵數(shù)據(jù)凸顯了安全團(tuán)隊(duì)在遭到入侵后改進(jìn)運(yùn)營(yíng)所面臨的挑戰(zhàn)。

根據(jù)Foundry/CSO的《2024年安全優(yōu)先級(jí)研究》，只有67%的安全負(fù)責(zé)人了解過(guò)去12個(gè)月內(nèi)導(dǎo)致他們企業(yè)數(shù)據(jù)安全事件的原因。

由于多個(gè)因素相互交織，檢測(cè)安全事件原因的工作已變得越來(lái)越復(fù)雜。

首先，確定是否發(fā)生安全事件本身就是一項(xiàng)重大挑戰(zhàn)。根據(jù)IBM的一份報(bào)告，公司平均需要207天才能發(fā)現(xiàn)安全事件，而遏制安全事件還需要額外的70天。因此，至少在初始訪問(wèn)九個(gè)月后，根本原因分析才可能成為焦點(diǎn)，這使得企業(yè)很難查明原因并從安全事件中吸取教訓(xùn)。

此外，發(fā)現(xiàn)安全事件并了解其起因正變得越來(lái)越具有挑戰(zhàn)性，尤其是因?yàn)楣粽咦兊迷絹?lái)越擅長(zhǎng)逃避檢測(cè)。

安全意識(shí)平臺(tái)SoSafe的首席安全官(CSO)Andrew Rose表示：“如今的攻擊往往是由人工智能驅(qū)動(dòng)且經(jīng)過(guò)精心設(shè)計(jì)以實(shí)現(xiàn)隱蔽性，這使得在攻擊初期很難檢測(cè)到它們。財(cái)務(wù)限制和網(wǎng)絡(luò)安全專(zhuān)業(yè)人才短缺意味著許多企業(yè)缺乏迅速識(shí)別、調(diào)查和追蹤威脅的資源。”

遠(yuǎn)程工作環(huán)境和物聯(lián)網(wǎng)設(shè)備的安全挑戰(zhàn)加劇了這些問(wèn)題，其中許多設(shè)備在設(shè)計(jì)時(shí)根本沒(méi)有考慮安全性，留下了攻擊者可以輕易利用的漏洞。

Foundry采訪的安全專(zhuān)家將檢測(cè)安全事件的問(wèn)題分解為以下不同的挑戰(zhàn)。

缺乏適當(dāng)?shù)臋z測(cè)和監(jiān)測(cè)系統(tǒng)

發(fā)現(xiàn)安全事件的根本原因依賴于強(qiáng)大的監(jiān)測(cè)和取證能力。當(dāng)安全運(yùn)營(yíng)被外包時(shí)(這種情況越來(lái)越多)，對(duì)業(yè)務(wù)的不熟悉可能會(huì)成為一個(gè)問(wèn)題。

KnowBe4的首席信息安全官(CISO)Brian Jack表示，在他調(diào)查的安全事件中，反復(fù)出現(xiàn)了一些因素。

“我多次看到，由于安全運(yùn)營(yíng)中心(SOC)的功能大部分被外包給第三方，而第三方未能通知客戶可疑事件，導(dǎo)致安全事件長(zhǎng)時(shí)間未被發(fā)現(xiàn)。”Jack解釋道。

他說(shuō)：“第三方SOC往往缺乏知識(shí)，而不是技能，來(lái)判斷觸發(fā)警報(bào)的某些事件是否值得調(diào)查。在SOC中，了解業(yè)務(wù)、了解人員以及可能發(fā)生的企業(yè)變革是非常有幫助的。”

事件響應(yīng)規(guī)劃不完善

制定清晰的事件響應(yīng)計(jì)劃可以讓企業(yè)為調(diào)查并發(fā)現(xiàn)安全事件根本原因的任務(wù)做好準(zhǔn)備，以防安全事件發(fā)生。

Daisy Corporate Services的安全戰(zhàn)略顧問(wèn)Paul McLatchie告訴記者：“網(wǎng)絡(luò)安全事件不是‘是否’會(huì)發(fā)生的問(wèn)題，而是‘何時(shí)’會(huì)發(fā)生的問(wèn)題，這就是為什么企業(yè)必須通過(guò)制定和遵循事件響應(yīng)計(jì)劃來(lái)做好準(zhǔn)備。”

網(wǎng)絡(luò)事件響應(yīng)的重點(diǎn)是快速識(shí)別企業(yè)內(nèi)的安全事件和事故，驗(yàn)證其范圍和影響，并采取有效的緩解和補(bǔ)救措施來(lái)應(yīng)對(duì)。響應(yīng)計(jì)劃還必須延伸到事件后分析和經(jīng)驗(yàn)教訓(xùn)的考慮，以便能夠確定安全事件的根本原因并吸取防止其再次發(fā)生的教訓(xùn)。

了解安全事件的原因并防范未來(lái)問(wèn)題很重要，因?yàn)闊o(wú)法從事件中吸取教訓(xùn)的企業(yè)將很容易再次遭到入侵。

McLatchie說(shuō)：“計(jì)劃無(wú)效或步驟不精確都會(huì)導(dǎo)致問(wèn)題。企業(yè)經(jīng)常會(huì)忽略事件響應(yīng)計(jì)劃的最后階段，并急于恢復(fù)運(yùn)營(yíng)。”

McLatchie警告說(shuō)：“這會(huì)導(dǎo)致對(duì)安全事件的根本原因分析不充分，或者在某些情況下，關(guān)鍵證據(jù)被意外銷(xiāo)毀。”

KnowBe4的Jack同意，從長(zhǎng)遠(yuǎn)來(lái)看，徹底分析是很有價(jià)值的。

他說(shuō)：“對(duì)所有資產(chǎn)盡可能保持日志可見(jiàn)性，并長(zhǎng)時(shí)間保留這些日志以進(jìn)行充分覆蓋來(lái)開(kāi)展調(diào)查，可能會(huì)很昂貴，但是，這對(duì)于早期檢測(cè)和徹底調(diào)查關(guān)鍵安全事件非常重要。”

預(yù)算限制

安全預(yù)算捉襟見(jiàn)肘，因此許多企業(yè)未能投資于能夠更容易地追蹤安全事件源頭的資源。

Check Point Software的公共部門(mén)負(fù)責(zé)人Graeme Stewart表示，人員配備有限和程序上的漏洞加劇了檢測(cè)安全事件的挑戰(zhàn)。

Stewart說(shuō)：“由于預(yù)算緊張和人員壓力，讓系統(tǒng)恢復(fù)在線成為當(dāng)務(wù)之急，這通常意味著先滅火，然后清理后果，最后才了解最初是什么導(dǎo)致了問(wèn)題。”

預(yù)算有限往往導(dǎo)致團(tuán)隊(duì)人員不足、根本原因分析能力有限以及取證能力不足。

網(wǎng)絡(luò)安全專(zhuān)家、OnSecurity(一家滲透測(cè)試平臺(tái))的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Conor O’Neill表示，中小型企業(yè)在及時(shí)發(fā)現(xiàn)問(wèn)題方面尤其面臨挑戰(zhàn)。

他說(shuō)：“由于預(yù)算有限、缺乏內(nèi)部安全功能和缺乏知道如何處理和預(yù)防數(shù)據(jù)泄露的訓(xùn)練有素的工作人員，小型企業(yè)比大型企業(yè)更容易受到網(wǎng)絡(luò)攻擊，而所有這些對(duì)于識(shí)別數(shù)據(jù)泄露至關(guān)重要。”

攻擊越來(lái)越復(fù)雜且隱蔽

安全公司Rapid7的高級(jí)副總裁兼首席科學(xué)家Raj Samani表示，隨著攻擊變得越來(lái)越復(fù)雜，解開(kāi)問(wèn)題原因可能會(huì)變得更加困難。

他說(shuō)：“我們必須承認(rèn)，許多威脅企業(yè)會(huì)采取措施來(lái)掩蓋他們的蹤跡，這通常會(huì)使任何調(diào)查都更具挑戰(zhàn)性，然而，這只是識(shí)別安全事件源頭如此困難的部分原因。”

Samani補(bǔ)充說(shuō)：“雖然技術(shù)將輔助調(diào)查，但回顧此類(lèi)事件所花費(fèi)的時(shí)間往往與下一個(gè)問(wèn)題的緊迫性或確實(shí)需要讓環(huán)境再次運(yùn)行起來(lái)的需求相沖突。”

許多安全事件在發(fā)生后很久才被發(fā)現(xiàn)，而延遲會(huì)使確定根本原因變得更加困難。在這種情況下，時(shí)間是攻擊者的幫兇，因?yàn)殡S著數(shù)據(jù)的修改、覆蓋和刪除，計(jì)算機(jī)取證能力會(huì)隨著時(shí)間的推移而減弱。

Spectrum Search的首席技術(shù)官(CTO)Peter Wood表示：“黑客總是在尋找新方法來(lái)融入正常的網(wǎng)絡(luò)流量中，因此即使是最好的檢測(cè)系統(tǒng)也可能會(huì)在與威脅進(jìn)行永無(wú)止境的‘打地鼠’游戲中落敗。雖然系統(tǒng)可能會(huì)標(biāo)記出可疑的東西，但要確切地找出它的起源又是另一回事。”

Immersive Labs的技術(shù)產(chǎn)品管理總監(jiān)David Spencer補(bǔ)充說(shuō)，攻擊者越來(lái)越多地竊取和使用合法的用戶憑據(jù)來(lái)逃避檢測(cè)、在系統(tǒng)之間橫向移動(dòng)并與正常網(wǎng)絡(luò)活動(dòng)融合在一起。

他說(shuō)：“情況進(jìn)一步復(fù)雜化，因?yàn)榇蠖鄶?shù)攻擊都涉及從明文文件、密碼管理器或內(nèi)存轉(zhuǎn)儲(chǔ)中捕獲憑據(jù)，這使得幾乎無(wú)法區(qū)分攻擊者和受害者，這就像在一堆越來(lái)越多的針中尋找一根[特定的]針。”

過(guò)于復(fù)雜(且脫節(jié))的安全技術(shù)堆棧

安全技術(shù)堆棧的復(fù)雜性也是一個(gè)日益嚴(yán)重的問(wèn)題。

美國(guó)律師事務(wù)所Varghese Summersett的創(chuàng)始人兼管理合伙人Benson Varghese表示：“許多公司使用多個(gè)系統(tǒng)、應(yīng)用程序和工具，它們往往無(wú)法集成。”

就像拼圖缺少了一些碎片一樣，當(dāng)系統(tǒng)無(wú)法配合在一起時(shí)，就很難確定安全事件發(fā)生的位置。

Varghese告訴記者：“我的客戶使用了一些安全解決方案的組合，其中一些已經(jīng)過(guò)時(shí)或無(wú)法通信。由于他們的監(jiān)測(cè)系統(tǒng)沒(méi)有與他們的安全基礎(chǔ)設(shè)施對(duì)齊，因此他們的安全事件幾個(gè)月都沒(méi)有被發(fā)現(xiàn)。”

Varghese補(bǔ)充說(shuō)：“當(dāng)他們意識(shí)到發(fā)生了什么時(shí)，已經(jīng)為時(shí)已晚。”

許多公司背負(fù)著技術(shù)債務(wù)，依賴于缺乏全面日志記錄功能的過(guò)時(shí)系統(tǒng)，這使得詳細(xì)跟蹤和分析事件變得困難。

Logpoint的首席安全研究員Kennet Harpsøe表示：“檢測(cè)與監(jiān)測(cè)是存在的主要問(wèn)題之一，而日益復(fù)雜的安全技術(shù)堆棧使這一問(wèn)題更加復(fù)雜。如果工具之間不能協(xié)同集成，關(guān)鍵的安全威脅指標(biāo)很容易遺漏或延遲，導(dǎo)致安全團(tuán)隊(duì)被海量的數(shù)據(jù)淹沒(méi)——在這種情況下，真正的信號(hào)往往淹沒(méi)在誤報(bào)的噪聲中。”

倫敦都市大學(xué)的高級(jí)應(yīng)用分析師Ben Jarlett告訴記者：“安全信息和事件管理(SIEM)系統(tǒng)以及擴(kuò)展檢測(cè)和響應(yīng)(XDR)平臺(tái)可以提供幫助，但它們需要適當(dāng)?shù)恼{(diào)優(yōu)、定期更新和熟練的管理才能發(fā)揮效用。”

Jarlett補(bǔ)充說(shuō)：“在許多情況下，公司要么沒(méi)有充分利用這些系統(tǒng)，要么面臨大量誤報(bào)的困擾，這可能掩蓋真正的威脅并延遲識(shí)別根本原因。”

Trend Micro的SecOps和威脅情報(bào)負(fù)責(zé)人Lewis Duke認(rèn)為，整合安全技術(shù)堆棧可以有所幫助。

他說(shuō)：“當(dāng)利用整合和相關(guān)的工具來(lái)提供真實(shí)的上下文并消除調(diào)查時(shí)的運(yùn)營(yíng)開(kāi)銷(xiāo)時(shí)，企業(yè)會(huì)做得更好，這就是為什么我們看到行業(yè)正在向基于平臺(tái)的安全策略轉(zhuǎn)變，這種策略可以實(shí)現(xiàn)更快、更有效的事件響應(yīng)(IR)，同時(shí)在降低技術(shù)堆棧所需成本和技能方面帶來(lái)明顯的好處。”

警報(bào)疲勞

安全監(jiān)測(cè)系統(tǒng)每天都會(huì)生成數(shù)百萬(wàn)條警報(bào)，使SOC不堪重負(fù)，并更難隔離惡意行為。

許多安全系統(tǒng)生成的大量誤報(bào)警報(bào)造成了一個(gè)棘手的“信噪比”問(wèn)題。Logpoint的Harpsøe表示：“分析師經(jīng)常被大量警報(bào)淹沒(méi)，這使得隔離真正威脅并確定其根本原因成為一項(xiàng)艱巨的任務(wù)。”

最終，解決這些挑戰(zhàn)需要改進(jìn)檢測(cè)工具的集成、更有效地優(yōu)先處理警報(bào)，并戰(zhàn)略性地強(qiáng)調(diào)保持對(duì)所有資產(chǎn)的全面可見(jiàn)性。

企業(yè)文化阻礙有效的安全戰(zhàn)略

一些企業(yè)可能沒(méi)有完全將網(wǎng)絡(luò)安全作為企業(yè)文化的一部分來(lái)優(yōu)先考慮，這使得查明根本原因變得極其困難。

倫敦都市大學(xué)的Jarlett表示：“盡管認(rèn)識(shí)到安全的重要性，但許多公司主要集中在監(jiān)管合規(guī)上，投資于網(wǎng)絡(luò)安全工具以滿足最低標(biāo)準(zhǔn)，而沒(méi)有培養(yǎng)積極主動(dòng)的安全意識(shí)。”

Okta負(fù)責(zé)EMEA地區(qū)的首席安全官Stephen McDermid認(rèn)為，安全負(fù)責(zé)人需要帶頭建立開(kāi)放且響應(yīng)迅速的企業(yè)安全文化。

McDermid說(shuō)：“首席安全官(CSO)有責(zé)任鼓勵(lì)人們讓威脅可見(jiàn)并升級(jí)潛在風(fēng)險(xiǎn)。如果員工害怕提出問(wèn)題并試圖獨(dú)自解決，這可能會(huì)延遲關(guān)鍵響應(yīng)。”

行動(dòng)計(jì)劃

公司可以通過(guò)投資于改進(jìn)網(wǎng)絡(luò)安全措施、員工培訓(xùn)、事件響應(yīng)規(guī)劃以及檢測(cè)和取證能力的投資來(lái)提高其韌性。

OnSecurity的O’Neill表示：“使用漏洞掃描器和滲透測(cè)試等工具來(lái)預(yù)防數(shù)據(jù)泄露，這些工具可以在漏洞和潛在安全事件發(fā)生之前識(shí)別它們。”