在最近发生的几起网络攻击事故中,网络犯罪分子几是乎随心所欲地渗透到企业网络,这让事件响应团队的职责受到广泛关注。但是,最新报告指出,安全团队在执行有意义的事件响应过程之前面临着一些障碍。
Ponemon研究所最近调查了1000多名IT安全专业人士,调查内容是他们所在企业的事件响应做法。约三分之二的受访者表示,由于恶意软件、僵尸网络和其他攻击的普及,其公司正处于“不断受攻击”的状态。更糟的是,这些受访者被安全事件和事件数据“淹没”,让他们很难确定哪些事件需要深入调查,或者在很多情况下,哪些事件需要调查。
例如,61%的受访者表示,端点安全产品带来了太多警报。高达85%的受访者还认为他们的企业目前无法优先排序安全事件。
赞助Ponemon报告的AccessData公司首席网络安全战略官Craig Carpenter认为,超过一半的受访者觉得调查安全事故需要太多时间,这并不奇怪。
Carpenter称,他所知道的安全专业人员每天都会发现20到40个潜在安全事件,并且,从理论上说,每个事件都需要进行调查。据Carpenter称,“绝大多数”事件并不严重,通常涉及过时的密码或未打补丁的应用,而理想情况下,这些应该由自动化系统来处理。
他指出,由于没有办法来优先排序事件,对于需要进一步关注的事件,很多IT安全专业人员根本没有时间来执行耗时的事件调查过程,而这可能导致长期攻击保持数周甚至数月不被发现,例如针对零售商Neiman Marcus的攻击。他们对这些事件采取的态度是,尽可能快地简单修复它们。
“很快地,他们会退出去,并说这个系统已经被感染了,他们需要对它进行重新镜像,然后返回给用户。你要知道,在进行调查的整个期间,用户都会说,‘我需要我的笔记本,请还给我,’”Carpenter说道,“他们甚至不会对事故进行广泛调查,出于这个原因,他们无法知道根本问题是什么。”
更令人担忧的是,很多受访者承认,他们向自己的首席执行官和其他高管提供的关于安全事故的回答是基于不完整甚至从未执行过的事件响应过程。只有三分之一的安全专业人员表示,他们只是告诉高管他们采取了行动来解决问题,而另外19%只是基于事件的初步信息作出猜测。
Carpenter说道,对于安全专业人员而言,在事故后与高管的会议中,提供误导性答案绝对是错误的策略,尽管这种会议确实气氛紧张。很多C级管理人员现在才学会在数据泄露事故或其他高知名度安全事件后应该提出什么问题,这要归功于最近零售商Target和软件巨头Adobe的高知名度攻击事件。
“你可能不完全知道发生了什么,或者攻击是否已经完全被阻止,”Carpenter表示,“这也是我们对高管提出要求的最佳时期,我们可以说,‘这就是我们正在做的事情,顺便说一下,为了让我们可以真正阻止这个攻击,以及保护业务,我们需要目前还没有的X、Y和Z等功能。’”