如今，很多企業(yè)的安全運(yùn)營團(tuán)隊(duì)不斷受到網(wǎng)絡(luò)攻擊和惡意軟件變種的影響。事實(shí)上，根據(jù)最近的一項(xiàng)研究，僅2021年全球就出現(xiàn)了1.7億個(gè)以上的惡意軟件新變種。因此，企業(yè)的首席信息安全官及其安全團(tuán)隊(duì)識(shí)別和阻止這些新威脅的負(fù)擔(dān)十分沉重。在此過程中，他們面臨著各種挑戰(zhàn)：技能短缺、人工數(shù)據(jù)關(guān)聯(lián)、追逐誤報(bào)、冗長的調(diào)查等等。本文將探討首席信息安全官面臨的一些威脅檢測計(jì)劃挑戰(zhàn)，并提供了一些關(guān)于他們?nèi)绾胃倪M(jìn)安全運(yùn)營的技巧。

首席信息安全官確保威脅檢測、調(diào)查和響應(yīng)的安全運(yùn)營計(jì)劃以最佳性能執(zhí)行。以下了解可能影響企業(yè)檢測、調(diào)查和響應(yīng)計(jì)劃的七個(gè)關(guān)鍵問題，以及首席信息安全官應(yīng)考慮向其企業(yè)、安全運(yùn)營團(tuán)隊(duì)以及提供解決方案的供應(yīng)商提出的一些問題。

1、網(wǎng)絡(luò)上發(fā)生的數(shù)據(jù)泄露或安全事件太多，無法正確識(shí)別惡意活動(dòng)

因此，很多首席信息安全官正在尋找能夠有效關(guān)聯(lián)和分析這些數(shù)據(jù)以消除誤報(bào)的高級工具。任何一位首席信息安全官都不希望他的團(tuán)隊(duì)在可能只是與用戶多次錯(cuò)誤輸入密碼相關(guān)的登錄失敗事件上浪費(fèi)時(shí)間。

要問的問題：能否關(guān)聯(lián)來自任何來源(如日志、云服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)、端點(diǎn)等)的數(shù)據(jù)，無論它是什么?能否全面監(jiān)控所有這些系統(tǒng)，獲取所需的遙測數(shù)據(jù)并自動(dòng)執(zhí)行關(guān)聯(lián)?關(guān)聯(lián)所有這些數(shù)據(jù)的成本是多少(解決方案提供商收取的費(fèi)用是多少)?

2、隨著時(shí)間的推移，關(guān)聯(lián)數(shù)據(jù)是很困難的

這就像從一個(gè)裝滿多個(gè)拼圖碎片盒子中拼出拼圖一樣。發(fā)生一次網(wǎng)絡(luò)攻擊可能很難識(shí)別。但是一旦威脅參與者已經(jīng)潛入，他們通常會(huì)在較長時(shí)間內(nèi)(有時(shí)幾天、幾周或幾個(gè)月后)再實(shí)施一些網(wǎng)絡(luò)攻擊。這使得分析師幾乎不可能將這些看似不相關(guān)的事件聯(lián)系起來以解決這個(gè)難題。

大多數(shù)工具還難以將這些看似獨(dú)立的事件關(guān)聯(lián)為同一網(wǎng)絡(luò)攻擊的一部分，因?yàn)殡S著時(shí)間的推移，它們似乎不相關(guān)。首席信息安全官負(fù)責(zé)確保團(tuán)隊(duì)擁有所需的一切(基于有限的預(yù)算)，以便在造成損害之前將這個(gè)難題逐一解決。

要問的問題：是否有各種各樣的數(shù)據(jù)源和分析可以有效地處理事件并將它們跨時(shí)間關(guān)聯(lián)?是否包含現(xiàn)成的威脅內(nèi)容用于實(shí)時(shí)攻擊檢測?

3、在應(yīng)對網(wǎng)絡(luò)攻擊活動(dòng)時(shí)，人工關(guān)聯(lián)和調(diào)查不同的安全源極大地延長了首席信息安全官及其團(tuán)隊(duì)所需的時(shí)間，并耗盡資源

一次從多個(gè)系統(tǒng)中提取數(shù)據(jù)是必要的，以獲得找出問題所在(以及如何響應(yīng))所需的場景信息。但在這段時(shí)間內(nèi)，可能已經(jīng)造成損害。這一挑戰(zhàn)很容易讓首席信息安全官感到沮喪，因?yàn)樗麄冊诮踩\(yùn)營計(jì)劃方面投入了大量時(shí)間和費(fèi)用。

要問的問題：企業(yè)當(dāng)前的團(tuán)隊(duì)是否必須進(jìn)行大量人工關(guān)聯(lián)?他們?nèi)绾文軌蛲ㄟ^跨越數(shù)周甚至數(shù)月的時(shí)間來實(shí)現(xiàn)這一點(diǎn)?在與其他IT團(tuán)隊(duì)合作時(shí)，企業(yè)的團(tuán)隊(duì)是否必須搜索多種工具并自行組合場景以查看有助于制定更好響應(yīng)的模式?

4、技能差距仍然是一個(gè)問題

然而，隨著在網(wǎng)絡(luò)、服務(wù)器和IT其他方面接受過培訓(xùn)的經(jīng)驗(yàn)豐富從業(yè)人員逐漸退出勞動(dòng)力市場，首席信息安全官被迫雇傭更多專注于安全的分析師，但從業(yè)人員的經(jīng)驗(yàn)卻越來越少，并且當(dāng)今市場上沒有足夠的經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人員。

要問的問題：企業(yè)的檢測、調(diào)查和響應(yīng)平臺(tái)如何自動(dòng)執(zhí)行某些任務(wù)并將正確的場景帶到最前沿?它如何提供必要的場景來幫助經(jīng)驗(yàn)不足的分析師隨著時(shí)間的推移學(xué)習(xí)并增加價(jià)值?

5、供應(yīng)商過度承諾和交付不足

在威脅檢測方面，很多供應(yīng)商錯(cuò)誤地聲稱或夸大他們擁有機(jī)器學(xué)習(xí)、人工智能、多云支持應(yīng)用風(fēng)險(xiǎn)指標(biāo)。首席信息安全官有時(shí)受到供應(yīng)商的抨擊，供應(yīng)商聲稱在最糟糕的情況下為解決問題提供了靈丹妙藥，但并沒有兌現(xiàn)承諾。

要問的問題：該解決方案是否使用基于規(guī)則的人工智能/機(jī)器學(xué)習(xí)(考慮到它本質(zhì)上是靜態(tài)的、需要更新并且在識(shí)別新的網(wǎng)絡(luò)攻擊和變體方面無效，理解這一點(diǎn)很重要)?多云是否只是進(jìn)行關(guān)聯(lián)(由分析師確定是否跨多云發(fā)生攻擊)?風(fēng)險(xiǎn)評分是否只是來自公共來源的匯總評分(而不是利用由分析提供支持的企業(yè)級風(fēng)險(xiǎn)引擎)?

6、成本和預(yù)算與更好的安全可見性之間的權(quán)衡可能是一個(gè)痛苦的選擇

首席信息安全官通常會(huì)采用一些平臺(tái)(如SIEM)，這些平臺(tái)根據(jù)攝取的數(shù)據(jù)量向用戶收取費(fèi)用。隨著企業(yè)的發(fā)展，按攝取的數(shù)據(jù)付費(fèi)是不可預(yù)測的，并且會(huì)迅速導(dǎo)致許可和存儲(chǔ)成本迅速上升。因此，首席信息安全官應(yīng)該尋找能夠減少這種成本負(fù)擔(dān)的解決方案，同時(shí)仍然允許企業(yè)攝取盡可能多地?cái)z取數(shù)據(jù)。其結(jié)果是更好的安全運(yùn)營中心可見性和更有效的檢測、調(diào)查和響應(yīng)。

要問的問題：對于采用真正機(jī)器學(xué)習(xí)的解決方案，可以攝取的數(shù)據(jù)越多越好。其解決方案是否會(huì)因?yàn)橐敫鄶?shù)據(jù)而受到懲罰?或者它是否包含更多的數(shù)據(jù)攝取以提供更好的可見性并通過提供靈活的許可來做到這一點(diǎn)?提供商如何幫助降低存儲(chǔ)成本?

7、自動(dòng)化可以提高效率并加快威脅檢測

這可以讓安全團(tuán)隊(duì)成員將注意力集中在更密集的任務(wù)上。如果有效完成，這可以節(jié)省運(yùn)營成本——這意味著花費(fèi)在簡單和低價(jià)值人工任務(wù)上的時(shí)間和資源更少，同時(shí)也縮短了完成高價(jià)值任務(wù)的時(shí)間。它還可以為初級分析師提供更好的體驗(yàn)，他們可以學(xué)習(xí)和改進(jìn)。

但并非所有的自動(dòng)化都是平等的。產(chǎn)生太多噪音和太多誤報(bào)的解決方案使得難以確定優(yōu)先調(diào)查和自動(dòng)響應(yīng)。威脅檢測越準(zhǔn)確，自動(dòng)響應(yīng)就越有針對性。

要問的問題：解決方案中的自動(dòng)化是否貫穿整個(gè)安全運(yùn)營中心生命周期?如果是這樣，怎么知道它在工作，怎么能相信它正在優(yōu)化操作(例如它能否表明在殺傷鏈中更早地阻止了威脅)?

隨著首席信息安全官及其安全運(yùn)營團(tuán)隊(duì)尋求改進(jìn)威脅檢測，他們將面臨圍繞可見性、成本、靈活性(尤其是在云計(jì)算環(huán)境中)、分析、優(yōu)先級、場景數(shù)據(jù)等方面的各種問題。但是，通過努力理解這些挑戰(zhàn)，并用知識(shí)和正確的問題武裝自己，各行業(yè)可以繼續(xù)發(fā)展，并為企業(yè)提供更好的安全運(yùn)營環(huán)境。