公司安全事件响应计划很可能并没有想象中那么健壮。一份新出炉的调查报告显示,事件响应计划的真实效果与安全主管的认知之间存在巨大差距。这项研究表明,安全主管往往对自身安全事件响应能力充满迷之自信。
[[223659]]
波耐蒙研究所对全球2848名IT及IT安全人员进行了调查研究,发现因为缺乏规范化的事件响应计划和足够的预算,公司企业在安全事件响应方面依然倍感棘手。
其《第三次网络弹性组织年度研究》报告显示,近一半(48%)的受访者将其“网络弹性”评级为“高”或“非常高”,对自身网络弹性水平充满自信的人数比例比上一年增加了32%。研究人员对网络弹性的定义是:预防、检测与响应能力的整合,管理、缓解网络攻击,并从网络攻击中恢复到正常运营的能力。
然而,77%的受访者承认,他们并没有一个能在公司范围内一致应用的规范化事件响应计划。近半数受访者称当前响应计划不太正式,或者根本没有这种计划。
这就有点矛盾了。受访者纷纷表示对自己的网络弹性信心更足了,但一涉及细节,情况却不那么乐观。
良好网络弹性的组成部分包括技术人才、信息监管操作、正式而全面的事件响应计划、能解决各类攻击的技术和产品、重足的资金、来自高级管理层的支持,还有对数据和应用的可见性。
受访者普遍认为,提高网络弹性的最主要办法就是雇佣有经验的技术人才(61%),其次是设置良好的信息监管(60%),然后是拥有够高的数据资产及应用可见性(57%)。
然而,人才招募依然面临难以跨越的障碍:无力雇佣和保留技术人才是网络弹性第二常见的障碍,有56%的受访者都这么认为。79%的受访者将拥有资深安全技术人才的重要性视为“高”或“非常高”;与此同时,77%的受访者将雇佣和留住这些人才的难度定为了“非常高”。
难以雇到并留住安全技术人才的部分原因,在于事件响应专家需要相当宽的知识面,要通晓多种技术集。他们必须什么都知道一点:终端、网络、操作系统,还有有关恶意软件的方方面面。
找到人才和留住人才之难,已经是众所周知的了。拥有事件响应技术的人现在是千金难求。事件响应专家所需的广泛而稀缺的技术集,更加加剧了这一人才危机。
而网络弹性的最大障碍,还在于缺乏对网络安全新技术的投入,比如人工智能和机器学习(60%)。运用了人工智能的工具可以有效缓解“警报疲劳”,让分析师得以专注在更复杂的任务上。事件响应计划中的某些关键部分,比如检查终端检测与响应(EDR)平台、部署URL监视等等,都可以运用人工智能加以自动化。
事件响应并非一招通吃
有些公司的事件响应计划相当薄弱,很难说能起到什么作用。有些公司则又在计划中包含了所有可能的情况,导致响应策略相当臃肿。
- 不同的事件需要不同的响应。DDoS攻击、勒索软件攻击、数字资产被盗等等事件的响应动作各不相同,必须为每种类型的事件创建单独的响应策略。
- 响应计划中还要考虑到牵涉的每个人。一个常见的错误就是没有纳入第三方,这种情况在响应计划不成熟的企业中非常普遍。而一旦负责处理公司客户数据的第三方遭遇安全事件,如果缺乏恰当的响应过程,公司遭遇损失的结局几乎是注定的。
- 计划创建好后还需要实践演练。这一点非常重要。实践演练和桌面推演过程可以让安全团队成员充分理解各自的角色和职责,为应对数据泄露后的混乱做好准备。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/122161.html<
