首席信息安全官確保威脅檢測、調查和響應的安全運營計劃以最佳性能執行。以下了解可能影響企業檢測、調查和響應計劃的七個關鍵問題,以及首席信息安全官應考慮向其企業、安全運營團隊以及提供解決方案的供應商提出的一些問題。
1.網絡上發生的數據泄露或安全事件太多,無法正確識別惡意活動
因此,很多首席信息安全官正在尋找能夠有效關聯和分析這些數據以消除誤報的高級工具。任何一位首席信息安全官都不希望他的團隊在可能只是與用戶多次錯誤輸入密碼相關的登錄失敗事件上浪費時間。
要問的問題:能否關聯來自任何來源(如日志、云服務、應用程序、網絡、端點等)的數據,無論它是什么?能否全面監控所有這些系統,獲取所需的遙測數據并自動執行關聯?關聯所有這些數據的成本是多少(解決方案提供商收取的費用是多少)?
2.隨著時間的推移,關聯數據是很困難的
這就像從一個裝滿多個拼圖碎片盒子中拼出拼圖一樣。發生一次網絡攻擊可能很難識別。但是一旦威脅參與者已經潛入,他們通常會在較長時間內(有時幾天、幾周或幾個月后)再實施一些網絡攻擊。這使得分??析師幾乎不可能將這些看似不相關的事件聯系起來以解決這個難題。
大多數工具還難以將這些看似獨立的事件關聯為同一網絡攻擊的一部分,因為隨著時間的推移,它們似乎不相關。首席信息安全官負責確保團隊擁有所需的一切(基于有限的預算),以便在造成損害之前將這個難題逐一解決。
要問的問題:是否有各種各樣的數據源和分析可以有效地處理事件并將它們跨時間關聯?是否包含現成的威脅內容用于實時攻擊檢測?
3.在應對網絡攻擊活動時,人工關聯和調查不同的安全源極大地延長了首席信息安全官及其團隊所需的時間,并耗盡資源
一次從多個系統中提取數據是必要的,以獲得找出問題所在(以及如何響應)所需的場景信息。但在這段時間內,可能已經造成損害。這一挑戰很容易讓首席信息安全官感到沮喪,因為他們在建立安全運營計劃方面投入了大量時間和費用。
要問的問題:企業當前的團隊是否必須進行大量人工關聯?他們如何能夠通過跨越數周甚至數月的時間來實現這一點?在與其他IT團隊合作時,企業的團隊是否必須搜索多種工具并自行組合場景以查看有助于制定更好響應的模式?
4.技能差距仍然是一個問題
然而,隨著在網絡、服務器和IT其他方面接受過培訓的經驗豐富從業人員逐漸退出勞動力市場,首席信息安全官被迫雇傭更多專注于安全的分析師,但從業人員的經驗卻越來越少,并且當今市場上沒有足夠的經驗豐富的網絡安全專業人員。
要問的問題:企業的檢測、調查和響應平臺如何自動執行某些任務并將正確的場景帶到最前沿?它如何提供必要的場景來幫助經驗不足的分析師隨著時間的推移學習并增加價值?
5.供應商過度承諾和交付不足
在威脅檢測方面,很多供應商錯誤地聲稱或夸大他們擁有機器學習、人工智能、多云支持應用風險指標。首席信息安全官有時受到供應商的抨擊,供應商聲稱在最糟糕的情況下為解決問題提供了靈丹妙藥,但并沒有兌現承諾。
要問的問題:該解決方案是否使用基于規則的人工智能/機器學習(考慮到它本質上是靜態的、需要更新并且在識別新的網絡攻擊和變體方面無效,理解這一點很重要)?多云是否只是進行關聯(由分析師確定是否跨多云發生攻擊)?風險評分是否只是來自公共來源的匯總評分(而不是利用由分析提供支持的企業級風險引擎)?
6.成本和預算與更好的安全可見性之間的權衡可能是一個痛苦的選擇
首席信息安全官通常會采用一些平臺(如SIEM),這些平臺根據攝取的數據量向用戶收取費用。隨著企業的發展,按攝取的數據付費是不可預測的,并且會迅速導致許可和存儲成本迅速上升。因此,首席信息安全官應該尋找能夠減少這種成本負擔的解決方案,同時仍然允許企業攝取盡可能多地攝取數據。其結果是更好的安全運營中心可見性和更有效的檢測、調查和響應。
要問的問題:對于采用真正機器學習的解決方案,可以攝取的數據越多越好。其解決方案是否會因為引入更多數據而受到懲罰?或者它是否包含更多的數據攝取以提供更好的可見性并通過提供靈活的許可來做到這一點?提供商如何幫助降低存儲成本?
7.自動化可以提高效率并加快威脅檢測
這可以讓安全團隊成員將注意力集中在更密集的任務上。如果有效完成,這可以節省運營成本——這意味著花費在簡單和低價值人工任務上的時間和資源更少,同時也縮短了完成高價值任務的時間。它還可以為初級分析師提供更好的體驗,他們可以學習和改進。
但并非所有的自動化都是平等的。產生太多噪音和太多誤報的解決方案使得難以確定優先調查和自動響應。威脅檢測越準確,自動響應就越有針對性。
要問的問題:解決方案中的自動化是否貫穿整個安全運營中心生命周期?如果是這樣,怎么知道它在工作,怎么能相信它正在優化操作(例如它能否表明在殺傷鏈中更早地阻止了威脅)?
隨著首席信息安全官及其安全運營團隊尋求改進威脅檢測,他們將面臨圍繞可見性、成本、靈活性(尤其是在云計算環境中)、分析、優先級、場景數據等方面的各種問題。但是,通過努力理解這些挑戰,并用知識和正確的問題武裝自己,各行業可以繼續發展,并為企業提供更好的安全運營環境。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號