IBM最新的全球调查发现,配备更多安全工具的企业导致安全响应无效,而且大多数组织没有针对常见和新兴攻击的具体计划和应急措施。IBM的《年度企业网络弹性报告》今年已经是第五版了,它考察了公司在准备和响应网络攻击方面的有效性。调查发现,虽然组织在过去五年中逐渐提高了计划、检测和响应网络攻击的能力,但同期遏制网络攻击的能力却下降了13%。根据IBM的一项全球调查,使用过多的安全工具以及缺乏针对常见类型攻击的具体行动手册阻碍了企业安全响应工作。尽管安全响应计划的改进速度在缓慢增加,但绝大多数组织(74%)仍然报告说他们的计划是临时的、应用不一致或根本没有计划。缺乏计划会极大地影响安全事件的成本,因为拥有事件响应团队并广泛测试其事件响应计划的公司在数据泄露方面的平均花费比同时拥有这两个成本节约因素的公司少120万美元。IBM年度网络弹性报告的主要发现包括:缓慢改进安全响应计划:在过去5年中,越来越多的组织采用了正式的企业范围安全响应计划;从2015年的18%的受访者上升到今年的26%(提高了44%)。缺乏具体计划:即使在制定了正式安全响应计划的受访者中,也只有三分之一(占所有受访者的17%)制定了针对常见攻击类型的具体计划,而针对勒索软件等新兴攻击方法的计划则远远落后。复杂性阻碍响应:组织使用的安全工具数量对威胁生命周期的多个类别产生负面影响。与使用较少工具的组织相比,使用超过50种安全工具的组织检测攻击的能力降低8%,响应攻击的能力降低7%。更好的规划,更少的损害:在整个企业范围内应用正式安全响应计划的公司不太可能因网络攻击而遭受重大破坏;在过去两年中,这些公司中只有39%经历了破坏性安全事件,而在准备不充分或计划不够协调的公司中,这一比例为62%。IBMX-Force威胁情报副总裁WendiWhitmore表示:“虽然越来越多的组织正在认真对待事件响应计划,但为网络攻击做准备并非易事。组织还必须定期关注测试、实践和重新评估他们的响应计划。利用可互操作的技术和自动化还可以帮助克服复杂性挑战并加快解决事件所需的时间。《更新应对新兴威胁的计划》调查发现,即使在拥有正式网络安全事件响应计划(CSIRP)的组织中,也只有33%的组织针对特定类型的攻击制定了剧本。由于不同类型的攻击需要独特的响应技术,因此拥有预定义的行动手册为组织提供一致且可重复的行动计划,以应对他们可能面临的最常见攻击。在为特定攻击制定计划的少数组织中,最常见的是DDoS攻击(64%)和恶意软件(57%)。虽然这些方法历来是企业最关心的问题,但勒索软件等其他攻击方法正在兴起。尽管近年来勒索软件攻击激增近70%,但仅有45%的企业制定了勒索软件攻击计划地方。此外,超过一半(52%)的已制定安全响应计划的受访者表示他们从不审查或没有设定审查/测试这些计划的截止日期。鉴于快速变化由于COVID-19大流行中越来越偏远的劳动力和不断引入新的攻击技术而导致业务运营发生变化,该数据表明许多企业依赖过时的响应计划,这些计划无法反映当前的威胁和业务状况。更多安全工具导致响应不佳该报告还发现,复杂性对事件响应能力产生了负面影响。接受调查的人估计,他们的组织平均使用超过45种安全工具,并且每个事件平均需要约19种工具的协调。该研究还发现,过多的工具实际上会阻碍组织处理攻击的能力。在调查中,那些使用超过50种工具的人检测攻击的能力降低了8%,而对攻击的响应能力降低了7%。这些发现表明,采用更多的安全工具并不一定会提高安全响应的有效性,事实上,可能适得其反。使用开放、可互操作的平台和自动化有助于降低跨工具响应的复杂性。报告中63%的高绩效组织表示,使用可互操作的安全工具帮助他们改进了对网络攻击的响应。更好获得回报的安全计划今年的报告提供了明确的证据,表明投资于正式安全计划的组织在响应事件方面更加成功。只有39%的公司在整个企业内始终采用CSIRP的事件62%的公司在过去两年中对其组织造成重大破坏而没有正式的计划。该报告还发现,安全人员技能是调查组织应对攻击能力的最重要因素。61%的受访者将企业安全弹性归因于雇用技术工人;而在表示缺乏安全弹性的受访者中,有41%的人将缺乏熟练工人列为首要原因。技术是帮助组织提高网络弹性的另一个差异化因素,尤其是当涉及到帮助他们解决复杂性的工具时。对于具有高水平网络弹性的组织,提高其网络弹性水平的两个最重要因素是:对应用程序和数据的可见性(57%选择)和自动化工具(55%选择)。数据显示,安全成熟度越高的企业,越依赖技术创新来提升网络弹性。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
