安全运营(SecOps)团队不断受到最新攻击和恶意软件变种的影响。最新研究显示,仅2021年就有超过1.7亿个新的恶意软件变种。识别和阻止这些新威胁对于CISO及其团队来说意味着前所未有的压力。此外,他们还面临人才与技能短缺、手动数据关联、鉴别误报、冗长的调查等诸多挑战。
CISO需要确保威胁检测、调查和响应(TDIR)安全运营计划的高效执行。以下是CISO需要重点关注并思考的7个方向:
▌01 无法识别真正的威胁
网络上发生的入侵指标(IOC, Indicators of Compromise)或安全事件太多,任何CISO都不希望团队将时间浪费在诸如用户多次错误输入密码导致的登录失败这类事件上。CISO需要找到能够有效关联和分析这些数据以消除误报的高级工具。
关键问题:
- 我能否关联来自任何来源(如日志、云、应用程序、网络、端点等)的数据?
- 我能否全面监控所有这些系统,获取所需的所有遥测数据并自动执行关联?
- 关联所有这些数据的成本(安全厂商报价)是多少?
▌02 跨时间数据难以关联
随着时间的推移,数据关联会越来越困难。单次攻击或许不难识别,但是一旦攻击者进入环境,他们通常会在较长时间内(有时几天、几周或几个月后)进行一些小活动。分析人员几乎不可能跨时间处理这些看似不同的事件,并将它们关联起来产生全局性的洞察。大多数工具也难以将这些看似独立的事件关联为同一攻击的一部分,因为它们在漫长的时间线上看起来并不相关。CISO需要基于有限的预算为团队提供所需的一切,以便在造成损害之前将攻击数据关联起来。
关键问题:
- 我是否有各种各样的数据源和分析工具可以有效地处理事件并将它们跨时间关联?
- 是否包含现成的工具用于实时攻击检测?
▌03 手动关联耗时耗力
在拼凑分析攻击活动时,手动关联和调查不同的威胁来源极大地耗费了CISO及其团队所需的时间和资源。安全团队要找出问题所在并响应,必须要一次从多个系统中提取数据。但在这段时间里,损害可能已经造成。这一挑战很容易让投入大量时间和金钱来建立安全运营计划的CISO感到沮丧。
关键问题:
- 您当前的团队是否必须进行大量手动关联,他们如何手动关联跨越数周甚至数月的事件?
- 在与其他IT团队合作时,您的团队是否必须借助多种工具,并自行组合上下文来寻找制定响应计划的模式?
▌04 安全团队技能差距
如今市场上缺少在网络、服务器和IT其他方面受过培训、经验丰富的从业人员,CISO被迫雇佣更多专注于安全的分析师。这些分析师需要更多的在职培训,同时也需要累积更多的经验,才足以胜任当前的岗位。
关键问题:
- TDIR平台如何自动执行某些任务?
- 它如何提供必要的上下文信息来帮助经验不足的分析师学习提升?
▌05 安全厂商过度承诺和交付不足
在威胁检测方面,太多安全厂商误导或夸大他们的产品功能,声称支持机器学习(ML)、人工智能(AI)、多云支持和/或应用风险指标等,但很多厂商往往无法兑现其宣称的这些功能。
关键问题:
- 厂商提供的解决方案是否真正使用基于规则的机器学习/人工智能?
- 多云是否只是进行关联,最终仍需分析师确定是否跨多云发生攻击?
- 风险评分是否只是来自公共来源的汇总评分,而非基于分析的企业级风险引擎?
▌06 安全投入与防护效果难以权衡
CISO通常使用的平台(如SIEM)根据处理的数据量收费,随着企业发展,按数据量收取的费用是不可预测的,还会导致许可和存储成本迅速上升。因此,CISO寻找的解决方案,应该能够减少这种成本负担,同时不影响企业提取和处理尽可能多的数据,实现更好的SOC可见性和更有效的TDIR。
关键问题:
- 对于真正采用机器学习的解决方案,数据越多越好,那么该解决方案是否会因为处理更多数据而收取更多费用?
- 是否需要提取更多数据才能提供更好的可见性?是否能提供灵活的许可?
- 安全厂商如何帮助企业降低存储成本?
▌07 通过自动化提高检测效率
自动化技术可以让安全团队成员将注意力集中在更复杂、价值更高的任务上。如果运营得当,还可以缩短高价值任务的时间,节省运营支出。透明的分析和自动化流程可以为初级分析师提供更好的体验,帮助他们学习提升。但并非所有自动化都一样,如果解决方案产生太多噪音和误报,就难以确定调查优先级、实现自动响应。威胁检测越准确,自动响应就越有针对性。
关键问题:
- 解决方案中的自动化是否贯穿整个SOC生命周期?
- 如何知道自动化正在工作并且正在优化运营(例如,它能否显示我在杀伤链的早期阻止了威胁)?
在CISO及其安全运营团队寻求改进威胁检测的过程中,必将面临可见性、成本、灵活性、分析、优先级、上下文数据等方面的各种问题。塞讯验证也正是从企业管理者、CISO以及安全运维人员等各个角度出发,聚焦于安全工作实际面临的问题和现状,帮助企业实现安全防御工作的降本增效。
塞讯安全度量验证平台 通过还原真实的攻击场景,7*24持续验证防御体系有效性,为安全团队定位安全防御体系的薄弱点。同时帮助企业优化安全架构,把每个安全产品放在适合的位置上,并使用充分落地的实践配置运行,也避免安全产品的冗余,减少重复投资,让企业的每一分安全投入都能够收获相应的防护效果。
此外,平台在模拟的攻击进行过程中,能够弥补团队人员技能、经验不足的情况,确保安全团队的响应流程是正确的,锻炼溯源、分析的能力,从而妥善应对未来可能出现的同类型事件。
| 参考来源
https://www.helpnetsecurity.com/2022/05/05/cisos-threat-detection-challenges/