从网络安全到数据泄露关键一步,即威胁的检测和响应。如果跳过了这一步,那么企业将为数据泄露付出巨大代价。这也使得威胁检测和响应成为企业安全的关键。
既然如此,那么威胁的检测和响应过程是否像生产瑞士手表那样高效运行呢?答案远非如此。据ESG报告显示,威胁检测和响应过程充满各种各样的问题。来自372名企业网络安全和IT专家的数据,以下是五大威胁检测和响应所遇的挑战:
36%的受访者认为企业的网络安全团队花大量的时间用以处理紧急问题而不是用在策略和过程改进上。换句话说,安全运营中心团队是在扬汤止沸而非釜底抽薪,无限循环,导致人员疲惫却毫无见效。
30%的受访者认为企业已经新增了基于网络、云端的主机、应用程序和用户而网络安全团队难以跟上基础设备更新的步伐。这也是不断扩大的攻击面必然要考虑的问题。随着越来越多的组织将业务转移到云端,采用SaaS应用程序,部署IoT设备,攻击面的扩大是大势所趋。
30%受访者认为他们的网络有一个或者几个“盲点”。俗话说,“你无法管理你无法量化的东西”。在网络安全中,无法用数字去衡量威胁检测和响应。
26%的受访者认为威胁检测和响应需要人工进行,这总是会妨碍他们跟上时代。
24%的受访者认为他们的组织没有工具很好地对企业内部和外部的威胁情报、安全事件进行比较,以至于不了解网络对手所用的战略、技巧、流程(TPPs)。甚至都不知道对手是谁,攻击又是如何进行的,以及被攻击的原因。企业应该以此为戒,而不是惧怕它们。
“安全是一个过程”
当前处境不容乐观,所有企业应该高度重视以上问题。确实,也存在很多像安全监管和威胁情报分析等技术问题,但是信息安全专家Bruce Schneier说过,“安全是一个过程而不是一个产品”,即使需要技术,但更需要投入。
首席信息安全家应该听取Bruce的建议,并且对当前企业的威胁检测和响应过程进行评估。以上数据说明了人工检测确实是一个问题。然而除此之外,是否还有其他问题?比如这个过程是否流程化并且记录在案?是否遵循了最优实践指南(比如NIST事件处理指南)?是否附有过程运行手册?是否有继续完善流程的自动化?
这些评估体现了人员和技术需求,与此同时,解决威胁检测和响应过程需求是一个很好的起点。这是一个关键业务领域,首席信息安全官应该让执行管理层和董事会了解衡量威胁检测和响应改进的需求、变化和指标。