在去年的一年中,发生了大量对行业带来巨大冲击的数据泄露事件,受影响行业包括医疗、执法机构、社交媒体等。越来越多的攻击是由经济利益驱动的——比如商业邮件欺诈(BEC),依然会对企业的银行户头带来巨大的灾难。另一方面,勒索软件造成多个城市、中小学和高等院校不得不支付了高额的赎金。再考虑到许多威胁背后有政府推动的情况,各大企业丝毫不能掉以轻心。但是,谨慎也需要灵活,尤其在如今防范威胁的手段极其丰富的情况下。
SANS事件响应报告的关键发现
SANS的2019年事件响应报告中发现了在事件响应中的重大进步。事件响应的两个最重要步骤——抑制和修复,其所需要的时间被缩短了。威胁事件从内部被检测的比例也大幅度提升。误报数量也减少了,从而意味着组织已经能更好地识别各类事件。
然而,即使有了不错的改进,之前一些顽疾始终存在。许多组织在可见化能力上存在明显短板;解决可见性这一问题必须成为组织安全项目的基石。如果对自身的环境一无所知,那就很难决定该采取怎样的安全措施。另外,许多受访者再一次对员工以及安全技能的短缺表达了不同程度的担忧;这一问题可能需要跳出思维局限进行思考才能解决。
事件响应的正面发现
2019年的事件响应报告中显示,一些关键领域有积极作用。组织能更快速地抑制攻击扩散并进行修复,同时更高效地检测到事件发生,而不是等待第三方的通知。
兵贵神速
评判一个事件响应团队如何的问题之一就是“检测、响应并解决事件的速度有多快”。对组织而言,衡量解决事件的速度有三个关键时间点:
从被攻击到检测
检测到抑制
抑制到修复
调查连续两年发现,安全团队在响应方面进步了。尽管发现的时间依然没有太多变化(大约53%的事件在24小时内被检测到),67%的受访人表示他们在24小时内就从检测状态转移到了抑制状态——相比前一年提升了6%。考虑到这一步在整个事件响应周期中的重要性,这是一个很大的进步。
在修复方面,报告发现受访者相比前一年需要更多的时间。不过,这未必是一件坏事。89%的修复都在30天内处理完成。尽管这个时间看上去很长,但是鉴于事件本身的严重程度以及需要恢复的数据量,一个月其实已经很快了。修复会是一个很复杂的问题,相比速度,最好牺牲一点时间来采取最佳方案。
求人不如求己
如果说一个组织依靠第三方进行检测,那就会在可见性能力上产生缺口,甚至无法准确检测到一个安全事件。这些状况对组织而言并不理想,却为攻击者所喜闻乐见。不过所幸,64%的受访者表示,超过51%的安全事件是由他们内部检测发现的,而非第三方发现通知。这一数据展现了组织是否有能力追踪他们自己的事件响应活动以及表现。另外,“事件到泄露”的转换率越低,安全团队就有越多的时间专注在主动防御或者检测方式上。
尚需努力的地方
SANS的2019年度事件响应报告中也标出了一些值得关注的问题,组织和机构可以从这些地方开始改进。
从多数据组发展可见性
根据报告,组织和机构对使用安全设备和主机数据去进行安全事件和潜在泄露的方式,表达了明确的兴趣。SIEM产品可以让安全团队轻松获取大部分数据,包括短期的历史事件记录、来自安全设备的相关告警,以及受攻击系统的活动数据。另一方面,受访者表示在收集网络活动中生成的一些事件、数据尤为困难,因为对于需要大量的网络探针,同时又会受到存储的限制。因此,类似于IDS、IPS、防火墙、日志分析,甚至SIEM之类的安全设备是集成得最多的解决方案;超过六成的受访者表示这些产品都被用于识别受影响的系统。
如果一个组织只依赖于从一两个数据来源来对事件进行检测和响应,那就很难说清楚结论是否正确。一般而言,响应团队往往会使用所有可以得到的数据来完善分析;这些数据包括任意系统的日志、网络流量等等。不过,对于组织而言,集成一些通知型的检测能力也会有不错的效果,比如文件完整性检测、行为监测等。但是,这两个技术只有16%的受访者集成到了自己的解决方案中,比例相当低。
另外,组织和机构还需要采用多种自动化和集成能力。由于自动化可以让组织进一步集成更多工具和自动化流程,这项能力能为组织带来极大的受益。
通过响应能力以史为镜
使用并追踪事件响应仪表图是提升效率的一大利器。仪表可以帮助显示团队的处理能力高低、低效的进程或者一些“效果拔群”的方式。
在2019年的调查中,大约26%的受访人指出,他们并未评估自己事件响应流程的效率或者成熟度;相对而言72%的受访人表示他们有一定的衡量标准,无论是他们内部的评判标准,或者是使用一些如NIST的公开指标。毫无疑问,那些会反复追踪并分析评估自己表现的团队,会随着时间的推移越来越高效。
通过从过去的事件中汲取经验教训,组织可以了解之前攻击者的技术和策略,从而避免同样的事情再次发生。知识和经验的积累能进一步提升组织的安全能力。
结论
正如SANS的事件响应报告标题“改变之时已至”,攻击者在改进自己的技术,并将自己的攻击变得更为复杂。组织和机构不该像鸵鸟一样回避问题:比如缺少人员、推迟甚至取消对自身安全检测响应能力有益的改进机会等。缺少管理层的介入会使得响应团队孤军奋战。更糟的是,这会导致企业内部“甩锅”文化盛行。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。