近期,Palo Alto Networks(派拓網(wǎng)絡(luò))對(duì)數(shù)百位安全專業(yè)人士進(jìn)行了一項(xiàng)關(guān)于安全自動(dòng)化現(xiàn)狀的調(diào)查。結(jié)果顯示,安全運(yùn)營(yíng)群體在應(yīng)對(duì)事件響應(yīng)方面存在著很事件響應(yīng)團(tuán)隊(duì)規(guī)模較小、多數(shù)威脅管理仍舊手動(dòng)進(jìn)行、網(wǎng)絡(luò)釣魚、惡意軟件等威脅攻擊事件頻發(fā)等種種問(wèn)題與挑戰(zhàn),因此也承受著巨大的壓力。本次調(diào)查就是讓各方安全運(yùn)營(yíng)人員能夠?qū)τ诂F(xiàn)在的安全自動(dòng)現(xiàn)狀進(jìn)行充分了解,以幫助企業(yè)能夠采用安全創(chuàng)新手段向更高級(jí)別的安全自動(dòng)化發(fā)展。
調(diào)查概覽
調(diào)查的受訪者由一個(gè)多元化的群體組成。在分享見(jiàn)解的 266 人中,有 25% 的人擔(dān)任安全工程師,有 18% 的人擔(dān)任網(wǎng)絡(luò)安全運(yùn)營(yíng)人員,有 15% 的人擔(dān)任副總裁/首席信息安全官或首席信息官。受訪者群體還代表了不同的企業(yè)規(guī)模和行業(yè)。22% 的企業(yè)擁有超過(guò) 20,000 名員工。21% 的企業(yè)員工人數(shù)在 2,500 到 4,999 人之間,19% 的企業(yè)員工人數(shù)在 5,000 到 9,999 人之間。
調(diào)查結(jié)果
事件響應(yīng)主要在內(nèi)部執(zhí)行
近一半 (49%) 的受訪者表示企業(yè)在內(nèi)部處理事件響應(yīng)。只有 1% 的企業(yè)會(huì)將其完全外包。在大多數(shù)情況下,公司會(huì)選擇自己處理安全事件。一個(gè)有趣的發(fā)現(xiàn)是,對(duì)于不同規(guī)模的企業(yè),內(nèi)部處理和外包的事件響應(yīng)比例一致。按企業(yè)規(guī)模劃分的內(nèi)部處理與外包事件響應(yīng)的百分比顯示每個(gè)企業(yè)規(guī)模分組的結(jié)果都與整體結(jié)果幾乎相同。
受訪者的事件響應(yīng)形式
按企業(yè)規(guī)模劃分的事件響應(yīng)形式
事件響應(yīng)團(tuán)隊(duì)的規(guī)模往往較小
事件響應(yīng)團(tuán)隊(duì)的規(guī)模比人們想象的要小,超過(guò) 50% 的受訪者表示他們的團(tuán)隊(duì)人數(shù)少于 5 人,12% 的團(tuán)隊(duì)人數(shù)在 11 到 25 人之間,只有 8% 的團(tuán)隊(duì)人數(shù)超過(guò) 25 人。
安全團(tuán)隊(duì)中致力于事件響應(yīng)的人數(shù)
即使是大公司也會(huì)雇傭小型事件響應(yīng)團(tuán)隊(duì)。在員工人數(shù)介于 1,000 到 2,499 之間的企業(yè)中,有 35% 的企業(yè)配備了 1 到 3 人的團(tuán)隊(duì),這不足為奇。令人震驚的是,在員工人數(shù)超過(guò) 10,000 的企業(yè)中,有15% 的企業(yè)配備的團(tuán)隊(duì)也是 1 到 3 人。
按企業(yè)規(guī)模劃分的安全團(tuán)隊(duì)實(shí)踐響應(yīng)人數(shù)
事件響應(yīng)團(tuán)隊(duì)必須廣泛開(kāi)展合作
事件響應(yīng)是一項(xiàng)多團(tuán)隊(duì)合作任務(wù)。調(diào)查顯示,事件響應(yīng)團(tuán)隊(duì)在處理安全事件時(shí)必須在整個(gè)企業(yè)內(nèi)開(kāi)展廣泛協(xié)作。在他們不得不與之互動(dòng)的一些團(tuán)隊(duì)里,有一部分缺乏安全性。受訪者需要與許多其他群體保持聯(lián)系并與他們協(xié)調(diào)活動(dòng),這進(jìn)一步表明小型事件響應(yīng)團(tuán)隊(duì)的壓力巨大。
安全團(tuán)隊(duì)與其他團(tuán)隊(duì)合作解決事件比例
以及具體團(tuán)隊(duì)分析
威脅管理工作 50% 是手動(dòng)進(jìn)行的
一半的受訪者采用手動(dòng)方式管理威脅情報(bào)源。另一半受訪者則使用各種各樣的威脅情報(bào)源管理工具, 對(duì)于如此關(guān)鍵的工作流程來(lái)說(shuō),50% 是一個(gè)很高的數(shù)字,尤其是考慮到當(dāng)今一些威脅的嚴(yán)重程度。對(duì)于小型團(tuán)隊(duì)而言,存在因進(jìn)行威脅管理而導(dǎo)致安全人員超負(fù)荷工作的風(fēng)險(xiǎn)。同時(shí),公司也面臨著錯(cuò)誤處理安全警報(bào)的風(fēng)險(xiǎn)。
管理威脅情報(bào)饋送的分析
對(duì)于威脅情報(bào)饋送的訂閱
網(wǎng)絡(luò)釣魚、惡意軟件和端點(diǎn)是數(shù)量最多的事件
當(dāng)被問(wèn)及他們的團(tuán)隊(duì)必須處理的三種數(shù)量最多的事件類型時(shí),74% 的受訪者表示是網(wǎng)絡(luò)釣魚警報(bào)。56% 的受訪者選擇了惡意軟件警報(bào),53% 的受訪者選擇了端點(diǎn)安全警報(bào)。
安全團(tuán)隊(duì)必須處理的事件類型分析
事件普遍性與響應(yīng)時(shí)間
事件類型的普遍性并不一定會(huì)轉(zhuǎn)化為事件響應(yīng)團(tuán)隊(duì)的過(guò)度負(fù)擔(dān)。例如,對(duì)于網(wǎng)絡(luò)釣魚警報(bào),考慮處理大量可在 30-60 分鐘內(nèi)得到解決的網(wǎng)絡(luò)釣魚事件,同時(shí)關(guān)注少量需要幾天才能解決的 VPN 警報(bào)或漏洞發(fā)現(xiàn)會(huì)有多分散注意力。這將是一個(gè)在不同事件響應(yīng)工作流之間不斷切換的過(guò)程,對(duì)于本研究中的小型事件響應(yīng)團(tuán)隊(duì)來(lái)說(shuō)根本不理想。而且,雖然 30-60 分鐘的問(wèn)題解決時(shí)間似乎已經(jīng)很快了,但如果一個(gè)團(tuán)隊(duì)始終在處理大量此類事件,可能會(huì)不堪重負(fù)。且這還只是以一種安全事件為例,可以想象體量偏小的安全團(tuán)隊(duì)更容易因事件響應(yīng)而徹底透支。
事件響應(yīng)自動(dòng)化正在進(jìn)行中
自動(dòng)化的速度似乎滯后于事件加載速度。例如,28% 的受訪者已自動(dòng)化網(wǎng)絡(luò)安全運(yùn)營(yíng),但 40% 的受訪者將其列為數(shù)量最多的前 3 大事件類型。74% 的受訪者將網(wǎng)絡(luò)釣魚警報(bào)列為數(shù)量最多的前 3 個(gè)事件之一,但只有 37% 的受訪者已自動(dòng)化網(wǎng)絡(luò)釣魚事件響應(yīng)流程。
解決安全事件問(wèn)題所需時(shí)間
本研究的受訪者有許多安全自動(dòng)化方面的計(jì)劃將在不久的未來(lái)實(shí)施。當(dāng)被問(wèn)及他們計(jì)劃在未來(lái) 18 個(gè)月內(nèi)自動(dòng)化哪些安全運(yùn)營(yíng)時(shí),22% 的受訪者表示“漏洞響應(yīng),例如勒索軟件”;19% 的受訪者表示“云安全與配置”;18% 的受訪者表示“網(wǎng)絡(luò)策略管理”。16% 的受訪者表示,他們將在未來(lái) 18 個(gè)月內(nèi)實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)營(yíng)、訪問(wèn)調(diào)查、網(wǎng)絡(luò)釣魚響應(yīng)和威脅情報(bào)自動(dòng)化。
在當(dāng)今的 IT 安全模式中,需要使用大量工具/解決方案才能提供全面的防御和深度的覆蓋。從所有平臺(tái)提取并規(guī)范化日志/警報(bào)/事件很難使它們保持一致并對(duì)分析產(chǎn)生實(shí)際作用。能夠提供通用格式和清潔集成的解決方案提供商將是成功的關(guān)鍵。如果能夠一站式集成所有日志,那么就可以開(kāi)始討論自動(dòng)化的推進(jìn)了。新技術(shù)的吸引力在于協(xié)助自動(dòng)標(biāo)記特定事件/警報(bào),為分析師團(tuán)隊(duì)節(jié)省時(shí)間,以便他們將精力僅放在調(diào)查最有可能發(fā)生的事件上。
讓企業(yè)更傾向于部署自動(dòng)化的功能
事件響應(yīng)團(tuán)隊(duì)的規(guī)模往往較小
“不確定從何處入手”是未部署安全自動(dòng)化的首要原因,50% 的受訪者表示這是他們最大的障礙。21% 的受訪者認(rèn)為,缺乏預(yù)算和必要的技能是實(shí)現(xiàn)自動(dòng)化的阻礙因素。因此,五分之四的受訪者顯然不存在缺少實(shí)現(xiàn)自動(dòng)化所需的資金或訓(xùn)練有素的人員的情況。14% 的受訪者表示管理層不了解這種需求。29% 的受訪者表示他們“使用目前的流程可達(dá)到很好的管理效果”。
沒(méi)有在安全運(yùn)營(yíng)中部署自動(dòng)化的原因
調(diào)查結(jié)果
企業(yè)可能還希望尋找機(jī)會(huì)獲得能夠降低自動(dòng)化復(fù)雜程度的解決方案,例如提供預(yù)構(gòu)事件響應(yīng)劇本的工具。我們具備實(shí)現(xiàn)更高水平自動(dòng)化的可能性,這很可能成為保障業(yè)務(wù)運(yùn)營(yíng)安全的不可協(xié)商要求。挑戰(zhàn)則在于接受變更并努力使其成為現(xiàn)實(shí)。