许多安全负责人仍然对他们企业最近遭遇的安全事件的原因一无所知,这让人质疑他们到底能学到多少。
三分之一的公司仍然不知道过去一年导致他们数据安全事件的原因,四分之三的公司表示,理解他们的安全技术堆栈正变得越来越复杂——这两项关键数据凸显了安全团队在遭到入侵后改进运营所面临的挑战。
根据Foundry/CSO的《2024年安全优先级研究》,只有67%的安全负责人了解过去12个月内导致他们企业数据安全事件的原因。
由于多个因素相互交织,检测安全事件原因的工作已变得越来越复杂。
首先,确定是否发生安全事件本身就是一项重大挑战。根据IBM的一份报告,公司平均需要207天才能发现安全事件,而遏制安全事件还需要额外的70天。因此,至少在初始访问九个月后,根本原因分析才可能成为焦点,这使得企业很难查明原因并从安全事件中吸取教训。
此外,发现安全事件并了解其起因正变得越来越具有挑战性,尤其是因为攻击者变得越来越擅长逃避检测。
安全意识平台SoSafe的首席安全官(CSO)Andrew Rose表示:“如今的攻击往往是由人工智能驱动且经过精心设计以实现隐蔽性,这使得在攻击初期很难检测到它们。财务限制和网络安全专业人才短缺意味着许多企业缺乏迅速识别、调查和追踪威胁的资源。”
远程工作环境和物联网设备的安全挑战加剧了这些问题,其中许多设备在设计时根本没有考虑安全性,留下了攻击者可以轻易利用的漏洞。
Foundry采访的安全专家将检测安全事件的问题分解为以下不同的挑战。
缺乏适当的检测和监测系统
发现安全事件的根本原因依赖于强大的监测和取证能力。当安全运营被外包时(这种情况越来越多),对业务的不熟悉可能会成为一个问题。
KnowBe4的首席信息安全官(CISO)Brian Jack表示,在他调查的安全事件中,反复出现了一些因素。
“我多次看到,由于安全运营中心(SOC)的功能大部分被外包给第三方,而第三方未能通知客户可疑事件,导致安全事件长时间未被发现。”Jack解释道。
他说:“第三方SOC往往缺乏知识,而不是技能,来判断触发警报的某些事件是否值得调查。在SOC中,了解业务、了解人员以及可能发生的企业变革是非常有帮助的。”
事件响应规划不完善
制定清晰的事件响应计划可以让企业为调查并发现安全事件根本原因的任务做好准备,以防安全事件发生。
Daisy Corporate Services的安全战略顾问Paul McLatchie告诉记者:“网络安全事件不是‘是否’会发生的问题,而是‘何时’会发生的问题,这就是为什么企业必须通过制定和遵循事件响应计划来做好准备。”
网络事件响应的重点是快速识别企业内的安全事件和事故,验证其范围和影响,并采取有效的缓解和补救措施来应对。响应计划还必须延伸到事件后分析和经验教训的考虑,以便能够确定安全事件的根本原因并吸取防止其再次发生的教训。
了解安全事件的原因并防范未来问题很重要,因为无法从事件中吸取教训的企业将很容易再次遭到入侵。
McLatchie说:“计划无效或步骤不精确都会导致问题。企业经常会忽略事件响应计划的最后阶段,并急于恢复运营。”
McLatchie警告说:“这会导致对安全事件的根本原因分析不充分,或者在某些情况下,关键证据被意外销毁。”
KnowBe4的Jack同意,从长远来看,彻底分析是很有价值的。
他说:“对所有资产尽可能保持日志可见性,并长时间保留这些日志以进行充分覆盖来开展调查,可能会很昂贵,但是,这对于早期检测和彻底调查关键安全事件非常重要。”
预算限制
安全预算捉襟见肘,因此许多企业未能投资于能够更容易地追踪安全事件源头的资源。
Check Point Software的公共部门负责人Graeme Stewart表示,人员配备有限和程序上的漏洞加剧了检测安全事件的挑战。
Stewart说:“由于预算紧张和人员压力,让系统恢复在线成为当务之急,这通常意味着先灭火,然后清理后果,最后才了解最初是什么导致了问题。”
预算有限往往导致团队人员不足、根本原因分析能力有限以及取证能力不足。
网络安全专家、OnSecurity(一家渗透测试平台)的首席执行官兼联合创始人Conor O’Neill表示,中小型企业在及时发现问题方面尤其面临挑战。
他说:“由于预算有限、缺乏内部安全功能和缺乏知道如何处理和预防数据泄露的训练有素的工作人员,小型企业比大型企业更容易受到网络攻击,而所有这些对于识别数据泄露至关重要。”
攻击越来越复杂且隐蔽
安全公司Rapid7的高级副总裁兼首席科学家Raj Samani表示,随着攻击变得越来越复杂,解开问题原因可能会变得更加困难。
他说:“我们必须承认,许多威胁企业会采取措施来掩盖他们的踪迹,这通常会使任何调查都更具挑战性,然而,这只是识别安全事件源头如此困难的部分原因。”
Samani补充说:“虽然技术将辅助调查,但回顾此类事件所花费的时间往往与下一个问题的紧迫性或确实需要让环境再次运行起来的需求相冲突。”
许多安全事件在发生后很久才被发现,而延迟会使确定根本原因变得更加困难。在这种情况下,时间是攻击者的帮凶,因为随着数据的修改、覆盖和删除,计算机取证能力会随着时间的推移而减弱。
Spectrum Search的首席技术官(CTO)Peter Wood表示:“黑客总是在寻找新方法来融入正常的网络流量中,因此即使是最好的检测系统也可能会在与威胁进行永无止境的‘打地鼠’游戏中落败。虽然系统可能会标记出可疑的东西,但要确切地找出它的起源又是另一回事。”
Immersive Labs的技术产品管理总监David Spencer补充说,攻击者越来越多地窃取和使用合法的用户凭据来逃避检测、在系统之间横向移动并与正常网络活动融合在一起。
他说:“情况进一步复杂化,因为大多数攻击都涉及从明文文件、密码管理器或内存转储中捕获凭据,这使得几乎无法区分攻击者和受害者,这就像在一堆越来越多的针中寻找一根[特定的]针。”
过于复杂(且脱节)的安全技术堆栈
安全技术堆栈的复杂性也是一个日益严重的问题。
美国律师事务所Varghese Summersett的创始人兼管理合伙人Benson Varghese表示:“许多公司使用多个系统、应用程序和工具,它们往往无法集成。”
就像拼图缺少了一些碎片一样,当系统无法配合在一起时,就很难确定安全事件发生的位置。
Varghese告诉记者:“我的客户使用了一些安全解决方案的组合,其中一些已经过时或无法通信。由于他们的监测系统没有与他们的安全基础设施对齐,因此他们的安全事件几个月都没有被发现。”
Varghese补充说:“当他们意识到发生了什么时,已经为时已晚。”
许多公司背负着技术债务,依赖于缺乏全面日志记录功能的过时系统,这使得详细跟踪和分析事件变得困难。
Logpoint的首席安全研究员Kennet Harpsøe表示:“检测与监测是存在的主要问题之一,而日益复杂的安全技术堆栈使这一问题更加复杂。如果工具之间不能协同集成,关键的安全威胁指标很容易遗漏或延迟,导致安全团队被海量的数据淹没——在这种情况下,真正的信号往往淹没在误报的噪声中。”
伦敦都市大学的高级应用分析师Ben Jarlett告诉记者:“安全信息和事件管理(SIEM)系统以及扩展检测和响应(XDR)平台可以提供帮助,但它们需要适当的调优、定期更新和熟练的管理才能发挥效用。”
Jarlett补充说:“在许多情况下,公司要么没有充分利用这些系统,要么面临大量误报的困扰,这可能掩盖真正的威胁并延迟识别根本原因。”
Trend Micro的SecOps和威胁情报负责人Lewis Duke认为,整合安全技术堆栈可以有所帮助。
他说:“当利用整合和相关的工具来提供真实的上下文并消除调查时的运营开销时,企业会做得更好,这就是为什么我们看到行业正在向基于平台的安全策略转变,这种策略可以实现更快、更有效的事件响应(IR),同时在降低技术堆栈所需成本和技能方面带来明显的好处。”
警报疲劳
安全监测系统每天都会生成数百万条警报,使SOC不堪重负,并更难隔离恶意行为。
许多安全系统生成的大量误报警报造成了一个棘手的“信噪比”问题。Logpoint的Harpsøe表示:“分析师经常被大量警报淹没,这使得隔离真正威胁并确定其根本原因成为一项艰巨的任务。”
最终,解决这些挑战需要改进检测工具的集成、更有效地优先处理警报,并战略性地强调保持对所有资产的全面可见性。
企业文化阻碍有效的安全战略
一些企业可能没有完全将网络安全作为企业文化的一部分来优先考虑,这使得查明根本原因变得极其困难。
伦敦都市大学的Jarlett表示:“尽管认识到安全的重要性,但许多公司主要集中在监管合规上,投资于网络安全工具以满足最低标准,而没有培养积极主动的安全意识。”
Okta负责EMEA地区的首席安全官Stephen McDermid认为,安全负责人需要带头建立开放且响应迅速的企业安全文化。
McDermid说:“首席安全官(CSO)有责任鼓励人们让威胁可见并升级潜在风险。如果员工害怕提出问题并试图独自解决,这可能会延迟关键响应。”
行动计划
公司可以通过投资于改进网络安全措施、员工培训、事件响应规划以及检测和取证能力的投资来提高其韧性。
OnSecurity的O’Neill表示:“使用漏洞扫描器和渗透测试等工具来预防数据泄露,这些工具可以在漏洞和潜在安全事件发生之前识别它们。”
