拒绝平躺!面对新威胁挑战,CISO应该做的七件事应对新威胁时面临巨大压力。与此同时,他们面临着挑战:技能短缺、手动关联数据、识别误报以及进行冗长的调查。为保证企业安全运营计划的顺利实施,现代CISO在日常工作中应从以下七个方面进行思考和准备,以实现更高效的安全威胁检测和响应,保障企业安全运营的稳定发展数字业务。思考一:当安全事件不断增多时,如何快速识别真正的威胁?随着数字化应用的深入,安全团队面临的安全事件数量不断增加,且增长速度通常超过安全团队自身能力的增长。没有CISO希望他的团队将时间浪费在登录失败(例如输入错误的密码)上,因此他需要能够有效地关联和分析这些安全事件数据,消除误报并发现真正的威胁活动。要关注的问题:业务能否关联来自任何来源(例如日志、云、应用程序、网络、端点等)的数据?您能否全面监控所有系统、获取所需的所有仪表数据并自动关联?连接所有这些系统的成本是多少?思考二:如何实现持续的数据关联分析?大数据分析技术已经在网络安全领域得到普遍应用,就像从一个装满棋子的盒子里取出正确的棋子来完成拼图一样。识别网络攻击可能并不困难,但一旦威胁行为者渗透到环境中,分析师通常不可能花费很长时间(数天、数周甚至数月)潜伏并进行试探性攻击。时间处理这些看似不同的事件并将它们联系起来以洞察全局。大多数工具也很难将这些看似独立的事件关联起来,并将它们识别为同一攻击。CISO需要在有限的预算内动用所有资源,确保在重大危害发生前,洞察企业整体安全状况。需要关注的问题:今天是否有各种各样的数据源和分析工具可以有效地处理事件并将它们长期关联起来?是否有现成的实时攻击检测工具?思考三:分析攻击活动时如何优化时间和资源效率?手动关联和调查不同的威胁源会显着增加CISO及其团队在拼凑和分析攻击活动时所需的时间和资源。安全团队有必要从多个系统中提取数据以查明问题所在。但到那个时候,伤害可能已经造成了。这一挑战很容易让已投入大量时间和金钱来建立安全运营计划的CISO感到沮丧。需要关注的问题:当前团队是否必须进行大量手动关联?面对持续数周或数月的事件,他们如何做到这一点?安全团队在与其他IT团队合作时是否需要借助多种工具,自己结合上下文完成相应的工作?思考四:如何面对团队安全能力不足的现状?如今,市场上没有足够的熟练网络安全专业人员。企业很难招到网络、服务器等IT方面训练有素、经验丰富的从业人员。CISO被迫雇用更多缺乏经验的分析师。这些分析师需要更多的在职培训和经验才能胜任该职位。需要关注的问题:TDIR(威胁检测调查和响应)平台如何自动执行某些任务?它如何提供必要的背景来帮助经验不足的分析师随着时间的推移学习和改进?思考五:如何通过行业泡沫找到真正满足需求的产品和供应商?很多时候,供应商在技术、资源、经验等方面存在一些不足,难以满足企业的实际需求。例如,在威胁检测方面,一些厂商声称支持机器学习、人工智能、多云支持、应用风险指标等,但实际落地时并没有兑现承诺。要关注的问题:该解决方案是否实际使用了基于规则的机器学习/人工智能?多云是否只是关联,没有进一步分析,最终还是要靠人来判断是否跨多云环境发生了攻击?风险评分是否只是从公共来源汇总的评分,而不是利用基于分析工具的企业级风险引擎?思考六:如何实现安全投入与保护效果的平衡?提供商通常根据用户获取的数据量向用户收费,随着组织的发展,这种情况变得不可预测,导致成本(许可和存储)飙升。CISO应该寻找减轻这种成本负担的解决方案,同时允许组织捕获尽可能多的数据。需要关注的问题:该解决方案是否会为更多数据支付更多费用?它是否提供更好的可见性并通过提供灵活的权限来实现?供应商如何帮助组织降低构建安全性的成本?思考七:如何利用自动化技术提升安全检测能力?自动化使安全团队能够专注于更繁重的任务,如果做得好,还可以节省运营费用。这意味着更少的时间和资源花在低价值、简单的手动任务上,花在高价值任务上的时间也更少。自动化手段还可以为初级分析师提供更好的体验,让他们不断学习和提高。但并非所有的自动化都是平等的。如果解决方案产生太多噪音和误报,用户可能很难确定调查的优先级和自动响应。需要关注的问题:是否在整个SOC生命周期中实施了自动化?如果是这样,您如何知道自动化正在发挥作用?您怎么能相信它正在优化安全操作?参考链接:https://www.helpnetsecurity.com/2022/05/05/cisos-threat-detection-challenges/
