在去年的一年中,發生了大量對行業帶來巨大沖擊的數據洩露事件,受影響行業包括醫療、執法機構、社交媒體等。越來越多的攻擊是由經濟利益驅動的——比如商業郵件欺詐(BEC),依然會對企業的銀行戶頭帶來巨大的災難。另一方面,勒索軟件造成多個城市、中小學和高等院校不得不支付了高額的贖金。再考慮到許多威脅背後有政府推動的情況,各大企業絲毫不能掉以輕心。但是,謹慎也需要靈活,尤其在如今防範威脅的手段極其豐富的情況下。
SANS事件響應報告的關鍵發現
SANS的2019年事件響應報告中發現了在事件響應中的重大進步。事件響應的兩個最重要步驟——抑制和修復,其所需要的時間被縮短了。威脅事件從內部被檢測的比例也大幅度提升。誤報數量也減少了,從而意味著組織已經能更好地識別各類事件。
然而,即使有了不錯的改進,之前一些頑疾始終存在。許多組織在可見化能力上存在明顯短板;解決可見性這一問題必須成為組織安全項目的基石。如果對自身的環境一無所知,那就很難決定該採取怎樣的安全措施。另外,許多受訪者再一次對員工以及安全技能的短缺表達了不同程度的擔憂;這一問題可能需要跳出思維侷限進行思考才能解決。
事件響應的正面發現
2019年的事件響應報告中顯示,一些關鍵領域有積極作用。組織能更快速地抑制攻擊擴散並進行修復,同時更高效地檢測到事件發生,而不是等待第三方的通知。
兵貴神速
評判一個事件響應團隊如何的問題之一就是“檢測、響應並解決事件的速度有多快”。對組織而言,衡量解決事件的速度有三個關鍵時間點:
- 從被攻擊到檢測
- 檢測到抑制
- 抑制到修復
調查連續兩年發現,安全團隊在響應方面進步了。儘管發現的時間依然沒有太多變化(大約53%的事件在24小時內被檢測到),67%的受訪人表示他們在24小時內就從檢測狀態轉移到了抑制狀態——相比前一年提升了6%。考慮到這一步在整個事件響應週期中的重要性,這是一個很大的進步。
在修復方面,報告發現受訪者相比前一年需要更多的時間。不過,這未必是一件壞事。89%的修復都在30天內處理完成。儘管這個時間看上去很長,但是鑑於事件本身的嚴重程度以及需要恢復的數據量,一個月其實已經很快了。修復會是一個很複雜的問題,相比速度,最好犧牲一點時間來採取最佳方案。
求人不如求己
如果說一個組織依靠第三方進行檢測,那就會在可見性能力上產生缺口,甚至無法準確檢測到一個安全事件。這些狀況對組織而言並不理想,卻為攻擊者所喜聞樂見。不過所幸,64%的受訪者表示,超過51%的安全事件是由他們內部檢測發現的,而非第三方發現通知。這一數據展現了組織是否有能力追蹤他們自己的事件響應活動以及表現。另外,“事件到洩露”的轉換率越低,安全團隊就有越多的時間專注在主動防禦或者檢測方式上。
尚需努力的地方
SANS的2019年度事件響應報告中也標出了一些值得關注的問題,組織和機構可以從這些地方開始改進。
從多數據組發展可見性
根據報告,組織和機構對使用安全設備和主機數據去進行安全事件和潛在洩露的方式,表達了明確的興趣。SIEM產品可以讓安全團隊輕鬆獲取大部分數據,包括短期的歷史事件記錄、來自安全設備的相關告警,以及受攻擊系統的活動數據。另一方面,受訪者表示在收集網絡活動中生成的一些事件、數據尤為困難,因為對於需要大量的網絡探針,同時又會受到存儲的限制。因此,類似於IDS、IPS、防火牆、日誌分析,甚至SIEM之類的安全設備是集成得最多的解決方案;超過六成的受訪者表示這些產品都被用於識別受影響的系統。
如果一個組織只依賴於從一兩個數據來源來對事件進行檢測和響應,那就很難說清楚結論是否正確。一般而言,響應團隊往往會使用所有可以得到的數據來完善分析;這些數據包括任意系統的日誌、網絡流量等等。不過,對於組織而言,集成一些通知型的檢測能力也會有不錯的效果,比如文件完整性檢測、行為監測等。但是,這兩個技術只有16%的受訪者集成到了自己的解決方案中,比例相當低。
另外,組織和機構還需要採用多種自動化和集成能力。由於自動化可以讓組織進一步集成更多工具和自動化流程,這項能力能為組織帶來極大的受益。
通過響應能力以史為鏡
使用並追蹤事件響應儀表圖是提升效率的一大利器。儀表可以幫助顯示團隊的處理能力高低、低效的進程或者一些“效果拔群”的方式。
在2019年的調查中,大約26%的受訪人指出,他們並未評估自己事件響應流程的效率或者成熟度;相對而言72%的受訪人表示他們有一定的衡量標準,無論是他們內部的評判標準,或者是使用一些如NIST的公開指標。毫無疑問,那些會反覆追蹤並分析評估自己表現的團隊,會隨著時間的推移越來越高效。
通過從過去的事件中汲取經驗教訓,組織可以瞭解之前攻擊者的技術和策略,從而避免同樣的事情再次發生。知識和經驗的積累能進一步提升組織的安全能力。
結論
正如SANS的事件響應報告標題“改變之時已至”,攻擊者在改進自己的技術,並將自己的攻擊變得更為複雜。組織和機構不該像鴕鳥一樣迴避問題:比如缺少人員、推遲甚至取消對自身安全檢測響應能力有益的改進機會等。缺少管理層的介入會使得響應團隊孤軍奮戰。更糟的是,這會導致企業內部“甩鍋”文化盛行。
關鍵詞:事件響應;應急響應
閱讀更多 數世諮詢 的文章
