三分之一的公司仍然不知道過去一年導致他們數據安全事件的原因,四分之三的公司表示,理解他們的安全技術堆棧正變得越來越復雜——這兩項關鍵數據凸顯了安全團隊在遭到入侵后改進運營所面臨的挑戰。
根據Foundry/CSO的《2024年安全優先級研究》,只有67%的安全負責人了解過去12個月內導致他們企業數據安全事件的原因。
由于多個因素相互交織,檢測安全事件原因的工作已變得越來越復雜。
首先,確定是否發生安全事件本身就是一項重大挑戰。根據IBM的一份報告,公司平均需要207天才能發現安全事件,而遏制安全事件還需要額外的70天。因此,至少在初始訪問九個月后,根本原因分析才可能成為焦點,這使得企業很難查明原因并從安全事件中吸取教訓。
此外,發現安全事件并了解其起因正變得越來越具有挑戰性,尤其是因為攻擊者變得越來越擅長逃避檢測。
安全意識平臺SoSafe的首席安全官(CSO)Andrew Rose表示:“如今的攻擊往往是由人工智能驅動且經過精心設計以實現隱蔽性,這使得在攻擊初期很難檢測到它們。財務限制和網絡安全專業人才短缺意味著許多企業缺乏迅速識別、調查和追蹤威脅的資源。”
遠程工作環境和物聯網設備的安全挑戰加劇了這些問題,其中許多設備在設計時根本沒有考慮安全性,留下了攻擊者可以輕易利用的漏洞。
Foundry采訪的安全專家將檢測安全事件的問題分解為以下不同的挑戰。
缺乏適當的檢測和監測系統
發現安全事件的根本原因依賴于強大的監測和取證能力。當安全運營被外包時(這種情況越來越多),對業務的不熟悉可能會成為一個問題。
KnowBe4的首席信息安全官(CISO)Brian Jack表示,在他調查的安全事件中,反復出現了一些因素。
“我多次看到,由于安全運營中心(SOC)的功能大部分被外包給第三方,而第三方未能通知客戶可疑事件,導致安全事件長時間未被發現。”Jack解釋道。
他說:“第三方SOC往往缺乏知識,而不是技能,來判斷觸發警報的某些事件是否值得調查。在SOC中,了解業務、了解人員以及可能發生的企業變革是非常有幫助的。”
事件響應規劃不完善
制定清晰的事件響應計劃可以讓企業為調查并發現安全事件根本原因的任務做好準備,以防安全事件發生。
Daisy Corporate Services的安全戰略顧問Paul McLatchie告訴記者:“網絡安全事件不是‘是否’會發生的問題,而是‘何時’會發生的問題,這就是為什么企業必須通過制定和遵循事件響應計劃來做好準備。”
網絡事件響應的重點是快速識別企業內的安全事件和事故,驗證其范圍和影響,并采取有效的緩解和補救措施來應對。響應計劃還必須延伸到事件后分析和經驗教訓的考慮,以便能夠確定安全事件的根本原因并吸取防止其再次發生的教訓。
了解安全事件的原因并防范未來問題很重要,因為無法從事件中吸取教訓的企業將很容易再次遭到入侵。
McLatchie說:“計劃無效或步驟不精確都會導致問題。企業經常會忽略事件響應計劃的最后階段,并急于恢復運營。”
McLatchie警告說:“這會導致對安全事件的根本原因分析不充分,或者在某些情況下,關鍵證據被意外銷毀。”
KnowBe4的Jack同意,從長遠來看,徹底分析是很有價值的。
他說:“對所有資產盡可能保持日志可見性,并長時間保留這些日志以進行充分覆蓋來開展調查,可能會很昂貴,但是,這對于早期檢測和徹底調查關鍵安全事件非常重要。”
預算限制
安全預算捉襟見肘,因此許多企業未能投資于能夠更容易地追蹤安全事件源頭的資源。
Check Point Software的公共部門負責人Graeme Stewart表示,人員配備有限和程序上的漏洞加劇了檢測安全事件的挑戰。
Stewart說:“由于預算緊張和人員壓力,讓系統恢復在線成為當務之急,這通常意味著先滅火,然后清理后果,最后才了解最初是什么導致了問題。”
預算有限往往導致團隊人員不足、根本原因分析能力有限以及取證能力不足。
網絡安全專家、OnSecurity(一家滲透測試平臺)的首席執行官兼聯合創始人Conor O’Neill表示,中小型企業在及時發現問題方面尤其面臨挑戰。
他說:“由于預算有限、缺乏內部安全功能和缺乏知道如何處理和預防數據泄露的訓練有素的工作人員,小型企業比大型企業更容易受到網絡攻擊,而所有這些對于識別數據泄露至關重要。”
攻擊越來越復雜且隱蔽
安全公司Rapid7的高級副總裁兼首席科學家Raj Samani表示,隨著攻擊變得越來越復雜,解開問題原因可能會變得更加困難。
他說:“我們必須承認,許多威脅企業會采取措施來掩蓋他們的蹤跡,這通常會使任何調查都更具挑戰性,然而,這只是識別安全事件源頭如此困難的部分原因。”
Samani補充說:“雖然技術將輔助調查,但回顧此類事件所花費的時間往往與下一個問題的緊迫性或確實需要讓環境再次運行起來的需求相沖突。”
許多安全事件在發生后很久才被發現,而延遲會使確定根本原因變得更加困難。在這種情況下,時間是攻擊者的幫兇,因為隨著數據的修改、覆蓋和刪除,計算機取證能力會隨著時間的推移而減弱。
Spectrum Search的首席技術官(CTO)Peter Wood表示:“黑客總是在尋找新方法來融入正常的網絡流量中,因此即使是最好的檢測系統也可能會在與威脅進行永無止境的‘打地鼠’游戲中落敗。雖然系統可能會標記出可疑的東西,但要確切地找出它的起源又是另一回事。”
Immersive Labs的技術產品管理總監David Spencer補充說,攻擊者越來越多地竊取和使用合法的用戶憑據來逃避檢測、在系統之間橫向移動并與正常網絡活動融合在一起。
他說:“情況進一步復雜化,因為大多數攻擊都涉及從明文文件、密碼管理器或內存轉儲中捕獲憑據,這使得幾乎無法區分攻擊者和受害者,這就像在一堆越來越多的針中尋找一根[特定的]針。”
過于復雜(且脫節)的安全技術堆棧
安全技術堆棧的復雜性也是一個日益嚴重的問題。
美國律師事務所Varghese Summersett的創始人兼管理合伙人Benson Varghese表示:“許多公司使用多個系統、應用程序和工具,它們往往無法集成。”
就像拼圖缺少了一些碎片一樣,當系統無法配合在一起時,就很難確定安全事件發生的位置。
Varghese告訴記者:“我的客戶使用了一些安全解決方案的組合,其中一些已經過時或無法通信。由于他們的監測系統沒有與他們的安全基礎設施對齊,因此他們的安全事件幾個月都沒有被發現。”
Varghese補充說:“當他們意識到發生了什么時,已經為時已晚。”
許多公司背負著技術債務,依賴于缺乏全面日志記錄功能的過時系統,這使得詳細跟蹤和分析事件變得困難。
Logpoint的首席安全研究員Kennet Harpsøe表示:“檢測與監測是存在的主要問題之一,而日益復雜的安全技術堆棧使這一問題更加復雜。如果工具之間不能協同集成,關鍵的安全威脅指標很容易遺漏或延遲,導致安全團隊被海量的數據淹沒——在這種情況下,真正的信號往往淹沒在誤報的噪聲中。”
倫敦都市大學的高級應用分析師Ben Jarlett告訴記者:“安全信息和事件管理(SIEM)系統以及擴展檢測和響應(XDR)平臺可以提供幫助,但它們需要適當的調優、定期更新和熟練的管理才能發揮效用。”
Jarlett補充說:“在許多情況下,公司要么沒有充分利用這些系統,要么面臨大量誤報的困擾,這可能掩蓋真正的威脅并延遲識別根本原因。”
Trend Micro的SecOps和威脅情報負責人Lewis Duke認為,整合安全技術堆棧可以有所幫助。
他說:“當利用整合和相關的工具來提供真實的上下文并消除調查時的運營開銷時,企業會做得更好,這就是為什么我們看到行業正在向基于平臺的安全策略轉變,這種策略可以實現更快、更有效的事件響應(IR),同時在降低技術堆棧所需成本和技能方面帶來明顯的好處。”
警報疲勞
安全監測系統每天都會生成數百萬條警報,使SOC不堪重負,并更難隔離惡意行為。
許多安全系統生成的大量誤報警報造成了一個棘手的“信噪比”問題。Logpoint的Harpsøe表示:“分析師經常被大量警報淹沒,這使得隔離真正威脅并確定其根本原因成為一項艱巨的任務。”
最終,解決這些挑戰需要改進檢測工具的集成、更有效地優先處理警報,并戰略性地強調保持對所有資產的全面可見性。
企業文化阻礙有效的安全戰略
一些企業可能沒有完全將網絡安全作為企業文化的一部分來優先考慮,這使得查明根本原因變得極其困難。
倫敦都市大學的Jarlett表示:“盡管認識到安全的重要性,但許多公司主要集中在監管合規上,投資于網絡安全工具以滿足最低標準,而沒有培養積極主動的安全意識。”
Okta負責EMEA地區的首席安全官Stephen McDermid認為,安全負責人需要帶頭建立開放且響應迅速的企業安全文化。
McDermid說:“首席安全官(CSO)有責任鼓勵人們讓威脅可見并升級潛在風險。如果員工害怕提出問題并試圖獨自解決,這可能會延遲關鍵響應。”
行動計劃
公司可以通過投資于改進網絡安全措施、員工培訓、事件響應規劃以及檢測和取證能力的投資來提高其韌性。
OnSecurity的O’Neill表示:“使用漏洞掃描器和滲透測試等工具來預防數據泄露,這些工具可以在漏洞和潛在安全事件發生之前識別它們。”
