从网络安全到数据泄露的关键一步是威胁检测与应对。如果跳过这一步,企业将为数据泄露付出巨大的代价。这也使得威胁检测和响应对企业安全至关重要。既然如此,威胁检测和响应过程是否像生产瑞士手表一样高效?答案远非如此。根据ESG报告,威胁检测和响应过程充满问题。根据来自372位企业网络安全和IT专家的数据,以下是威胁检测和响应的前五大挑战:36%的受访者认为企业网络安全团队将大量时间花在紧急问题上,而不是政策和流程上改进。换句话说,安全运营中心团队不是想从锅底拿薪水,而是想止住沸水,无限循环导致人员疲劳却没有效果。30%的受访者认为,企业增加了基于网络和云的主机、应用程序和用户,网络安全团队难以跟上基础设施更新的步伐。这也是对不断扩大的攻击面的必然考虑。随着越来越多的组织将业务迁移到云端、采用SaaS应用程序并部署物联网设备,攻击面正在扩大。30%的受访者认为他们的网络存在一个或多个“盲点”。俗话说,“你无法管理你无法量化的东西”。在网络安全中,威胁检测和响应无法用数字来衡量。26%的受访者认为威胁检测和响应需要手动完成,这总是让他们无法跟上。24%的受访者认为他们的组织没有很好地比较内部和外部威胁情报和安全事件的工具,因此他们不了解网络对手使用的策略、技术、流程(TPP)。甚至不知道对手是谁,袭击是如何进行的,为什么要袭击。企业应以此为戒,不要惧怕。“安全是过程”的现状不容乐观,各企业都应高度重视上述问题。的确,安全监管、威胁情报分析等技术问题很多,但信息安全专家BruceSchneier表示,“安全是一个过程,而不是一个产品。”即使需要技术,也需要投资。CISO应该采纳Bruce的建议并评估他们当前的企业威胁检测和响应流程。以上数据说明,人工检测确实存在问题。但是,除此之外,还有其他问题吗?例如,流程是否简化并记录在案?它是否遵循最佳实践指南(例如NIST事件处理指南)?是否附有流程操作手册?过程是否有持续改进?自动化?这些评估反映了人员和技术需求,而解决威胁检测和响应过程需求是一个很好的起点。这是一个关键的业务领域,CISO应该让执行管理层和董事会了解需求、变化和指标,以衡量威胁检测和响应方面的改进。
