截至2022年底,全球互联网用户数量已经超过50亿。在用户数量快速增长的同时,网络中的设备和应用也在持续不断增加,这些都导致了网络系统会产生更加庞大的数据。而当企业正在产生的数据超出他们所能收集和分析的数据量时,企业就无法及时检查这些数据中是否存在可能导致安全威胁的隐患和漏洞,并最终遭受巨大的财务和商誉损失。
为了在大数据时代更有效的开展大规模威胁检测活动,企业安全团队需要不断改进和完善现有的安全威胁检测方法,确保威胁检测工作的可扩展性、灵活性和检测效率。在此过程中,可能会面临以下六个挑战。
挑战1:实现大规模的可见性监控
全球各地的企业组织都在将业务系统向云计算转移,安全运营团队需要能够跟上这种发展的步伐。在此过程中,一些传统的安全监控设备(比如传统SIEM系统等),可能会无法适应云环境中的监控要求,安全团队需要寻找新一代的安全监控工具,不仅可以管理大批产生的数据,同时降低安全运营成本。
企业在扩展安全可见性监控的规模时,应该首先认清到他们在当前威胁分析过程中的不足和成本。这样在设计新一代威胁检测系统时,重点关注那些薄弱的度量指标,从而实现安全监控能力的提升。
挑战2:自动化技术的应用
通过自动化手段可以让安全团队将注意力集中在更繁重的任务上,如果方法得当,还可以节省运营支出。这意味着花在低价值的简单手动任务上的时间和资源会更少,为处理高价值的任务节约了时间。但是,企业在开始采用自动化威胁检测工具时,往往会面临很多困惑,包括需要对什么工作进行自动化,以及如何评价自动化的工作质量等。
对于那些已经习惯了全手动化工作的安全团队来说,没必要一下子全部实现自动化模式的升级。依赖现有的内部资源常常可以更快地踏上自动化之路。当安全分析师逐步了解如何利用自动化工具开展日常工作时,不仅会看到减少手动工作的好处,还会进一步发现自动化能力后续完善的需求。
挑战3:安全警报泛滥
随着数字化应用的不断深入和各种安全工具的不断应用,企业安全运营团队面对的安全威胁告警注定会不断增加,其增速通常会超过团队自身能力的成长。虽说通过自动化手段可以简化警报、缩短跟进处理时间,但任何CISO都不希望看到其团队将时间浪费在类似密码误输入引起的登录失败上。因此,企业需要思考如何有效关联和分析大规模的安全事件数据,消除误报信息,发现真正的威胁活动。目前,市场上大多数的安全检测工具还难以将各种看似独立的事件关联起来综合分析。CISO需要在预算有限的情况下动用一切资源,确保在重大危害发生前洞悉企业整体的安全威胁状况。
挑战4:数据过载
由于数据量的不断增加,企业安全团队如今面临数据过载的挑战,而且这种情况会越来越严重。为了有效处理庞大的数据,企业要注意应该重点收集那些高价值、高质量的数据,并确保这些数据在检测和响应管道中被充分使用。如果数据质量不好,或者没有实际用途,就可以先不采集,这助于节省资金和处理周期。
挑战5:掌握软件编程技术
检测即代码对现代安全团队的高效工作有很多好处。如果能够根据自己的要求编写检测与警报代码,安全团队就可以实现更高的稳定性、预测性和扩展性。但这需要威胁检测分析师投入时间和精力来学习至少一门编程语言。
事实上,掌握像Python之类的编程语言比想象中的容易得多,这对安全团队来说是一项意义重大的技能。不断实践是学习编程技能的最好方法。在实际工作中,威胁检测分析师可以从基于实际案例的简单编程工作入手,查阅编程教学网站或其他实用的资源,了解如何编写切实可行的程序。
挑战6:安全运营团队能力不足
如今,企业很难招聘到在网络安全威胁检测方面受过良好培训、经验丰富的从业人员,因此被迫雇佣更多缺乏从业经验的分析师。这些分析师需要较长时间的业务培训和经验积累,才能胜任岗位。因此,有条件的企业应该积极部署应用新一代TDIR(威胁检测调查与响应)平台,在提供自动化能力同时,还可以提供更完善的上下文信息,弥补安全分析师经验上的不足。
企业不仅需要新的工具来洞见威胁,还应该奉行持续创新和优化发展的工作心态。如果安全团队拥有合适的工具和方法流程支持,并保持积极主动的威胁检测状态,就能够不断提升自身的威胁检测能力和防护效果。