中國互聯網協會、國家互聯網應急中心日前發布《中國互聯網站發展狀況及其安全報告(2015)》，顯示2014年我國惡意仿冒釣魚網站頁面數量增至93136個，較2013年增長2.1倍。我國政府網站正在成為網絡攻擊的主要目標，去年境內被篡改網站達36969個，較2013年增長53.8%；被植入后門的網站也高達40186個。網絡安全隱患對個人用戶和企業用戶都造成很大的威脅。面對無處不在的網絡攻擊，如果系統不能自動檢測并實時的做出反應，不但會影響網站的正常運營，還將面臨數據的丟失和用戶機密信息的泄漏。

Intel Security 委托 Enterprise Strategy Group (ESG) 完成了一份題為《解決攻擊檢測與事件響應難題》(Tackling Attack Detection and Incident Response) 的報告，報告深入剖析了企業的安全戰略、網絡攻擊環境、事件響應的挑戰和需求。調查顯示，安全事件讓安全專業人員疲于應對，去年，平均每家企業進行了 78 起安全事件調查，其中 28% 涉及針對性攻擊 — 最具破壞性的網絡攻擊。根據對 700 位專業人士的調查，更好的檢測工具、更好的分析工具以及更多有關如何處理事件響應問題的培訓是提升信息安全人員工作效率和成效的首要因素。

ESG 的高級首席分析師 Jon Oltsik 指出：“對于事件檢測和響應而言，時間與潛在損害之間有著反向的關聯性。企業識別、調查和響應網絡攻擊的時間越長，越有可能使其排除代價高昂的敏感數據威脅措施的效果大打折扣。有鑒于此，CISO 應當牢記，采集和處理攻擊數據是一種有助于提升威脅檢測和響應效率及成效的有效手段。”

更好的集成

近 80% 的受訪者相信，安全工具之間缺乏集成和溝通會導致出現瓶頸，進而影響其檢測和響應安全威脅的能力。實時、全面的可視性對于快速應對有針對性的攻擊尤為重要，37% 的人希望安全智能感知和 IT 運營工具間能夠更緊密地集成。這些受訪者表示，由幾十種各自為戰的安全產品組成的拼接式架構導致了大量孤立的工具、控制臺、流程以及報告的存在，實踐證明，這是一種極其耗時的使用模式。這些架構還會生成大量的攻擊數據，使真正的攻擊指標淹沒其中。

更好的可視性

受訪的安全專業人員表示，安全監控面臨兩大困境，一是針對用戶、設備和網絡活動的可視性有限；二是為了獲得必要的可視性而進行的調查以及所采取的措施非常耗時。例如，近一半(47%)的企業聲稱，確定安全事件的影響或規模特別耗費時間。

更好的分析

調查還顯示，出色的、更加自動化的分析能力正成為一大重要需求，需求不僅僅停留在采集大量安全事件和威脅智能數據，而是要能更有效地分析數據以檢測和評估事件。58% 的受訪者表示，他們需要更好的檢測工具，例如，具備基于云的智能感知功能的靜態和動態分析工具以分析文件，了解意圖。53% 的受訪者坦言，他們需要更好的分析工具以將安全數據轉化為行之有效的智能信息。近三分之一(33%)的人希望獲得更好的工具來確定正常系統行為的基準，從而使團隊能更快地檢測差異。

更好的專業技術

參與調查的人均承認缺乏有關威脅態勢的知識以及安全調查技能，這表明，如果事件響應團隊不能搞清楚他們所看到的信息，即便通過技術集成或分析功能獲得更好的可視性也難以充分應對威脅。例如，只有 45% 的受訪者認為自己對惡意軟件技術非常了解，40% 的人希望獲得更多培訓以彌補技能方面的缺陷。

自動增強措施

調查數據量的龐大以及有技能的資源的欠缺導致了對獲得幫助以采取措施的強烈需求。52% 的受訪者表示，采取措施以最大限度減輕攻擊影響是其最耗時的任務之一。27% 的受訪者希望安全智能感知工具能夠提供更好的自動分析，以加快對安全威脅的實時了解。15% 的受訪者希望實現流程自動化以便解放IT人員來執行更重要的任務。

Intel Security 總經理 Chris Young 指出：“正如醫療專業人員必須在黃金時間內將心臟病患者送至醫院以盡最大可能挽救其生命一樣，安全行業所努力的方向必須是減少企業檢測和應對攻擊所需的時間，從而對威脅防患于未然。這要求我們找出并解決困擾我們的難題，并使我們始終圍繞安全這個核心來思考問題。”

本報告建議 CISO 采取四大關鍵戰略以切實減少安全事件響應的時間，提升效率：

·打造緊密集成的企業安全技術架構：CISO 必須用集成的安全架構來取代各自為戰的單點安全工具。這一戰略有助于增強攻擊信息共享，并可獲得針對用戶、終端和網絡行為的企業范圍的可視性，從而實現更加有效的協調響應。

·將網絡安全戰略與強大的分析相結合，使數據從數量向價值轉變：網絡安全戰略必須以強大的安全分析為基礎。這意味著采集、處理和分析大量內部（例如，日志、數據流、數據包、終端取證、靜態/動態惡意軟件分析、企業智能信息（例如，用戶行為、業務行為等））以及外部數據（例如，威脅智能信息、漏洞通知等）。

·盡可能實現事件檢測與響應自動化：不斷變化的攻擊技術意味著大多數的企業都無法獨善其身。要有效應對安全威脅，CISO 必須致力于實現自動化，例如，高級惡意軟件分析、智能算法、機器學習以及借助威脅智能感知來將內部行為與網絡敵手所使用的破壞事件 (IoC) 以及戰術、技術和程序 (TTP) 進行對比。

·不間斷地進行網絡安全教育：每年應當面向整個企業開展一些網絡安全教育，安全團隊和人力資源部門要制定相應的持續教育計劃以支持這一舉措。當管理層通過強調教育的重要性，并且不遺余力地加以倡導從而做出表率時，網絡安全教育計劃才是最成功的。