如今，很多企業(yè)的安全運營團隊不斷受到網(wǎng)絡攻擊和惡意軟件變種的影響。事實上，根據(jù)最近的一項研究，僅2021年全球就出現(xiàn)了1.7億個以上的惡意軟件新變種。因此，企業(yè)的首席信息安全官及其安全團隊識別和阻止這些新威脅的負擔十分沉重。在此過程中，他們面臨著各種挑戰(zhàn)：技能短缺、人工數(shù)據(jù)關聯(lián)、追逐誤報、冗長的調查等等。本文將探討首席信息安全官面臨的一些威脅檢測計劃挑戰(zhàn)，并提供了一些關于他們如何改進安全運營的技巧。

首席信息安全官確保威脅檢測、調查和響應的安全運營計劃以最佳性能執(zhí)行。以下了解可能影響企業(yè)檢測、調查和響應計劃的七個關鍵問題，以及首席信息安全官應考慮向其企業(yè)、安全運營團隊以及提供解決方案的供應商提出的一些問題。

1、網(wǎng)絡上發(fā)生的數(shù)據(jù)泄露或安全事件太多，無法正確識別惡意活動

因此，很多首席信息安全官正在尋找能夠有效關聯(lián)和分析這些數(shù)據(jù)以消除誤報的高級工具。任何一位首席信息安全官都不希望他的團隊在可能只是與用戶多次錯誤輸入密碼相關的登錄失敗事件上浪費時間。

要問的問題：能否關聯(lián)來自任何來源(如日志、云服務、應用程序、網(wǎng)絡、端點等)的數(shù)據(jù)，無論它是什么?能否全面監(jiān)控所有這些系統(tǒng)，獲取所需的遙測數(shù)據(jù)并自動執(zhí)行關聯(lián)?關聯(lián)所有這些數(shù)據(jù)的成本是多少(解決方案提供商收取的費用是多少)?

2、隨著時間的推移，關聯(lián)數(shù)據(jù)是很困難的

這就像從一個裝滿多個拼圖碎片盒子中拼出拼圖一樣。發(fā)生一次網(wǎng)絡攻擊可能很難識別。但是一旦威脅參與者已經(jīng)潛入，他們通常會在較長時間內(有時幾天、幾周或幾個月后)再實施一些網(wǎng)絡攻擊。這使得分析師幾乎不可能將這些看似不相關的事件聯(lián)系起來以解決這個難題。

大多數(shù)工具還難以將這些看似獨立的事件關聯(lián)為同一網(wǎng)絡攻擊的一部分，因為隨著時間的推移，它們似乎不相關。首席信息安全官負責確保團隊擁有所需的一切(基于有限的預算)，以便在造成損害之前將這個難題逐一解決。

要問的問題：是否有各種各樣的數(shù)據(jù)源和分析可以有效地處理事件并將它們跨時間關聯(lián)?是否包含現(xiàn)成的威脅內容用于實時攻擊檢測?

3、在應對網(wǎng)絡攻擊活動時，人工關聯(lián)和調查不同的安全源極大地延長了首席信息安全官及其團隊所需的時間，并耗盡資源

一次從多個系統(tǒng)中提取數(shù)據(jù)是必要的，以獲得找出問題所在(以及如何響應)所需的場景信息。但在這段時間內，可能已經(jīng)造成損害。這一挑戰(zhàn)很容易讓首席信息安全官感到沮喪，因為他們在建立安全運營計劃方面投入了大量時間和費用。

要問的問題：企業(yè)當前的團隊是否必須進行大量人工關聯(lián)?他們如何能夠通過跨越數(shù)周甚至數(shù)月的時間來實現(xiàn)這一點?在與其他IT團隊合作時，企業(yè)的團隊是否必須搜索多種工具并自行組合場景以查看有助于制定更好響應的模式?

4、技能差距仍然是一個問題

然而，隨著在網(wǎng)絡、服務器和IT其他方面接受過培訓的經(jīng)驗豐富從業(yè)人員逐漸退出勞動力市場，首席信息安全官被迫雇傭更多專注于安全的分析師，但從業(yè)人員的經(jīng)驗卻越來越少，并且當今市場上沒有足夠的經(jīng)驗豐富的網(wǎng)絡安全專業(yè)人員。

要問的問題：企業(yè)的檢測、調查和響應平臺如何自動執(zhí)行某些任務并將正確的場景帶到最前沿?它如何提供必要的場景來幫助經(jīng)驗不足的分析師隨著時間的推移學習并增加價值?

5、供應商過度承諾和交付不足

在威脅檢測方面，很多供應商錯誤地聲稱或夸大他們擁有機器學習、人工智能、多云支持應用風險指標。首席信息安全官有時受到供應商的抨擊，供應商聲稱在最糟糕的情況下為解決問題提供了靈丹妙藥，但并沒有兌現(xiàn)承諾。

要問的問題：該解決方案是否使用基于規(guī)則的人工智能/機器學習(考慮到它本質上是靜態(tài)的、需要更新并且在識別新的網(wǎng)絡攻擊和變體方面無效，理解這一點很重要)?多云是否只是進行關聯(lián)(由分析師確定是否跨多云發(fā)生攻擊)?風險評分是否只是來自公共來源的匯總評分(而不是利用由分析提供支持的企業(yè)級風險引擎)?

6、成本和預算與更好的安全可見性之間的權衡可能是一個痛苦的選擇

首席信息安全官通常會采用一些平臺(如SIEM)，這些平臺根據(jù)攝取的數(shù)據(jù)量向用戶收取費用。隨著企業(yè)的發(fā)展，按攝取的數(shù)據(jù)付費是不可預測的，并且會迅速導致許可和存儲成本迅速上升。因此，首席信息安全官應該尋找能夠減少這種成本負擔的解決方案，同時仍然允許企業(yè)攝取盡可能多地攝取數(shù)據(jù)。其結果是更好的安全運營中心可見性和更有效的檢測、調查和響應。

要問的問題：對于采用真正機器學習的解決方案，可以攝取的數(shù)據(jù)越多越好。其解決方案是否會因為引入更多數(shù)據(jù)而受到懲罰?或者它是否包含更多的數(shù)據(jù)攝取以提供更好的可見性并通過提供靈活的許可來做到這一點?提供商如何幫助降低存儲成本?

7、自動化可以提高效率并加快威脅檢測

這可以讓安全團隊成員將注意力集中在更密集的任務上。如果有效完成，這可以節(jié)省運營成本——這意味著花費在簡單和低價值人工任務上的時間和資源更少，同時也縮短了完成高價值任務的時間。它還可以為初級分析師提供更好的體驗，他們可以學習和改進。

但并非所有的自動化都是平等的。產生太多噪音和太多誤報的解決方案使得難以確定優(yōu)先調查和自動響應。威脅檢測越準確，自動響應就越有針對性。

要問的問題：解決方案中的自動化是否貫穿整個安全運營中心生命周期?如果是這樣，怎么知道它在工作，怎么能相信它正在優(yōu)化操作(例如它能否表明在殺傷鏈中更早地阻止了威脅)?

隨著首席信息安全官及其安全運營團隊尋求改進威脅檢測，他們將面臨圍繞可見性、成本、靈活性(尤其是在云計算環(huán)境中)、分析、優(yōu)先級、場景數(shù)據(jù)等方面的各種問題。但是，通過努力理解這些挑戰(zhàn)，并用知識和正確的問題武裝自己，各行業(yè)可以繼續(xù)發(fā)展，并為企業(yè)提供更好的安全運營環(huán)境。