拒绝躺平!CISO们面对新型威胁挑战时应做的七点思考

最新研究数据显示,在2021年发现的恶意软件新型变种超过1.7亿个,这让企业组织的CISO及其团队在识别和阻止这些新威胁时面临巨大的压力。同时,他们还要面对各种挑战:技能短缺、手动关联数据、鉴别误报和开展漫长的调查等。

为了确保企业的安全运营计划能够顺畅执行,现代CISO们在日常工作中,应该做好以下七个方面的思考和准备,以实现更加高效的安全威胁检测与响应,保障企业数字化业务的稳定开展。

思考1:当安全事件数量不断增加时,如何快速识别真正的威胁?

随着数字化应用的不断深入,安全团队面对的安全事件在不断增加,其增速通常会超过安全团队自身的能力成长。任何CISO都不希望其团队将时间浪费在类似密码误输入引起的登录失败事件上,因此需要能够有效关联和分析这些安全事件数据,消除误报信息,发现真正的威胁活动。

应重点关注的问题:企业能否关联来自任何来源(比如日志、云、应用程序、网络和端点等)的数据?能否全面监控所有系统,获取所需的全部检测数据,并自动执行关联?关联所有这些系统的成本又是多少?

思考2:如何实现有连续性的数据关联及分析?

大数据分析技术已经在网络安全领域普遍应用,这就像从装满拼块的盒子里取出合适的一块完成拼图一样。在网络上识别出一次攻击可能并不困难,但一旦威胁分子潜入环境,常常会在较长时间内(几天、几周甚至几个月)潜伏并进行试探性攻击,分析人员几乎不可能长时间处理这些看似不同的事件,并将它们联系起来以洞察全局。大多数工具还难以将这些看似独立的事件关联起来,并识别出这是同一起攻击。CISO需要在预算有限的情况下动用一切资源,确保在重大危害发生前洞悉企业全局安全状况。

应重点关注的问题:现在是否有各种各样的数据源和分析工具来有效地处理事件,并在很长的时间内将其关联起来?是否有现成工具用于实时攻击检测?

思考3:在分析攻击活动时,如何实现时间和资源效率的最优化?

在拼凑和分析攻击活动时,手动关联和调查不同的威胁来源极大地增加了CISO及其团队所需的时间和资源。安全团队想要查明问题所在,需要从多个系统中提取数据,这是必要的。但在这段时间里,危害可能早已酿成。这个挑战很容易让投入大量时间和金钱来建立安全运营计划的CISO颇感沮丧。

应重点关注的问题:当前的团队是否必须进行大量的手动关联?面对持续数周乃至数月的事件,他们如何完成这项工作?与其他IT团队合作时,安全团队是否必须借助多种工具,并自行结合上下文,才能完成相应的工作?

思考4:如何面对团队安全能力不足的现状?

如今,市场上没有足够多业务熟练的网络安全专业人员,企业很难招聘到在网络、服务器及IT其他方面受过良好培训、经验丰富的从业人员,CISO被迫雇佣更多缺乏从业经验的分析师。这些分析师需要更多的在职培训和经验,才能胜任岗位。

应重点关注的问题:TDIR(威胁检测调查与响应)平台如何自动执行某些任务?它如何提供必要的上下文来帮助经验不足的分析师逐渐学习、不断提升?

思考5:如何透过产业的泡沫,找到真正满足需求的产品及供应商?

很多时候,供应商们在技术、资源、经验方面都会存在一些不足,难以满足企业的实际需求。例如,在威胁检测方面,一些供应商声称自己支持机器学习、人工智能、多云支持及应用风险指标,但在实际落地时却无法兑现承诺。

应重点关注的问题:解决方案是否真正使用基于规则的机器学习/人工智能?多云是否只是进行关联,而没有进一步的分析,最终仍然需要由人工确定是否发生了跨多云环境的攻击?风险评分是否只是从公共来源汇总的评分,而不是利用基于分析工具的企业级风险引擎?

思考6:如何实现安全投入与防护效果之间的平衡?

供应商常常会根据用户获取的数据量向其收费,当组织规模壮大后,按获取的数据量收费变得不可预测,会导致成本(许可和存储)的急剧上升。CISO应寻找能够减轻这种成本负担,又能够让组织获取尽可能多数据的解决方案。

应重点关注的问题:解决方案是否会因为获取更多数据而支付更多费用?它是否提供更好的可见性,并通过提供灵活的许可做到这一点?供应商如何帮助组织降低安全建设成本?

思考7:如何利用自动化技术来提升安全检测能力?

通过自动化手段可以让安全团队将注意力集中在更繁重的任务上,如果方法得当,还可以节省运营支出。这意味着花在低价值的简单手动任务上的时间和资源会更少,为处理高价值的任务缩短了时间。自动化手段还可以为初级分析师提供更好的体验,可以让他们不断学习和改进。但并非所有的自动化天生都一样。如果解决方案产生太多的干扰和误报,用户很难确定调查优先级、实现响应自动化。

应重点关注的问题:自动化手段是否贯穿于整个SOC生命周期?如果是这样,怎么知道自动化在发挥功效?怎么相信它在优化安全运营?

参考链接:https://www.helpnetsecurity.com/2022/05/05/cisos-threat-detection-challenges/

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/134693.html<

(0)
管理的头像管理
上一篇2025-03-01 06:50
下一篇 2025-03-01 06:52

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注