最新调查显示,企业不知道他们何时被攻击,也很难确定攻击范围。很多企业发现,他们越来越难以及时检测到攻击,或者在发现攻击后快速确定攻击范围。本周发布的一项新调查显示,虽然大多数企业似乎对于他们快速分析和响应安全警报的能力很有信心,但仍然有很多企业难以实时发现攻击,或者是确定他们是否已经遭遇攻击。
Bit9对全球250名决策者进行了调查,调查发现,62%的企业会分析和响应安全警报。然而,超过五分之一的企业称其保护端点和服务器抵御新兴攻击(没有签名)的能力有所不足,或者完全不具备这种能力。几乎相同数量的企业称其无法实时确定多少系统被恶意文件感染。
此外,55%的企业称,他们无法发现零日攻击,或者只能在日常维护中“意外”发现这种攻击,或者当用户因为系统异常行为联系帮助台时发现这种攻击。
也许最能说明这一切问题的是,13%的决策者称他们不知道在过去一年中,他们是否经历了攻击。
Bit9首席安全官Nick Levay表示,“这非常让人惊讶。我以为这个数字会低于10%,很多企业并没有很好地追踪与安全事件相关的指标。我认为,缺乏对这些指标的追踪会导致高层决策者无法准确了解网络中正在发生的安全事件类型。”
这是安全行业存在的一种现象,很多专家解释说,企业无能抵御先进的攻击是因为没有获得对各个系统的可视性。
NSFOCUS公司高级产品经历Vann Abernethy表示,“很多企业的系统被感染了,他们甚至都不知道,这表明了某些恶意软件的复杂性,一些非常先进的恶意软件变体可以在企业内横向移动,以避免被检测,然后在很长一段时间潜伏在企业内,使用加密与其命令和控制系统通信,或者关闭常见的反病毒和反恶意软件。”
Abernethy解释说,企业需要能够增强现有的安全防御技术,提高取证能力,这样能使安全团队通过“日常取证检测和数据分析”来密切关注系统行为。
AccessData公司网络安全副总裁Jason Mical表示,现在的大多数企业没有足够集中于这种类型的分析,而是过分依赖于报警和防护工具。“这些产品只会捕捉你要它们寻找的东西,在这一点上,企业需要提高对系统的可视性,了解企业网络中正在发生的事情,并专注于消除这些网络安全盲点。”
为了做到这一点,企业应该更好地简化其网络安全基础设施。这意味着企业需要想办法更好地实现跨不同信息安全团队的实时协作,并考虑整合不同的分析工具到基于平台的技术方法。他表示,“眼下,大多数企业仍然设有不同的团队,每个团队使用几种不同的工具。他们必须手动关联所有这些关键数据,这导致验证可疑威胁或相应已知威胁的延迟,给企业带来威胁。”