最新報告 | 解讀安全自動化的現狀

近期，Palo Alto Networks（派拓網絡）對數百位安全專業(yè)人士進行了一項關于安全自動化現狀的調查。結果顯示，安全運營群體在應對事件響應方面存在著很事件響應團隊規(guī)模較小、多數威脅管理仍舊手動進行、網絡釣魚、惡意軟件等威脅攻擊事件頻發(fā)等種種問題與挑戰(zhàn)，因此也承受著巨大的壓力。本次調查就是讓各方安全運營人員能夠對于現在的安全自動現狀進行充分了解，以幫助企業(yè)能夠采用安全創(chuàng)新手段向更高級別的安全自動化發(fā)展。

調查概覽

調查的受訪者由一個多元化的群體組成。在分享見解的 266 人中，有 25% 的人擔任安全工程師，有 18% 的人擔任網絡安全運營人員，有 15% 的人擔任副總裁/首席信息安全官或首席信息官。受訪者群體還代表了不同的企業(yè)規(guī)模和行業(yè)。22% 的企業(yè)擁有超過 20,000 名員工。21% 的企業(yè)員工人數在 2,500 到 4,999 人之間，19% 的企業(yè)員工人數在 5,000 到 9,999 人之間。

調查結果

事件響應主要在內部執(zhí)行
近一半 (49%) 的受訪者表示企業(yè)在內部處理事件響應。只有 1% 的企業(yè)會將其完全外包。在大多數情況下，公司會選擇自己處理安全事件。一個有趣的發(fā)現是，對于不同規(guī)模的企業(yè)，內部處理和外包的事件響應比例一致。按企業(yè)規(guī)模劃分的內部處理與外包事件響應的百分比顯示每個企業(yè)規(guī)模分組的結果都與整體結果幾乎相同。

事件響應團隊的規(guī)模往往較小
事件響應團隊的規(guī)模比人們想象的要小，超過 50% 的受訪者表示他們的團隊人數少于 5 人，12% 的團隊人數在 11 到 25 人之間，只有 8% 的團隊人數超過 25 人。
即使是大公司也會雇傭小型事件響應團隊。在員工人數介于 1,000 到 2,499 之間的企業(yè)中，有 35% 的企業(yè)配備了 1 到 3 人的團隊，這不足為奇。令人震驚的是，在員工人數超過 10,000 的企業(yè)中，有15% 的企業(yè)配備的團隊也是 1 到 3 人。
事件響應團隊必須廣泛開展合作
事件響應是一項多團隊合作任務。調查顯示，事件響應團隊在處理安全事件時必須在整個企業(yè)內開展廣泛協(xié)作。在他們不得不與之互動的一些團隊里，有一部分缺乏安全性。受訪者需要與許多其他群體保持聯系并與他們協(xié)調活動，這進一步表明小型事件響應團隊的壓力巨大。

安全團隊與其他團隊合作解決事件比例
以及具體團隊分析
 

威脅管理工作 50% 是手動進行的
一半的受訪者采用手動方式管理威脅情報源。另一半受訪者則使用各種各樣的威脅情報源管理工具， 對于如此關鍵的工作流程來說，50% 是一個很高的數字，尤其是考慮到當今一些威脅的嚴重程度。對于小型團隊而言，存在因進行威脅管理而導致安全人員超負荷工作的風險。同時，公司也面臨著錯誤處理安全警報的風險。

管理威脅情報饋送的分析


對于威脅情報饋送的訂閱

網絡釣魚、惡意軟件和端點是數量最多的事件

當被問及他們的團隊必須處理的三種數量最多的事件類型時，74% 的受訪者表示是網絡釣魚警報。56% 的受訪者選擇了惡意軟件警報，53% 的受訪者選擇了端點安全警報。

事件普遍性與響應時間
事件類型的普遍性并不一定會轉化為事件響應團隊的過度負擔。例如，對于網絡釣魚警報，考慮處理大量可在 30-60 分鐘內得到解決的網絡釣魚事件，同時關注少量需要幾天才能解決的 VPN 警報或漏洞發(fā)現會有多分散注意力。這將是一個在不同事件響應工作流之間不斷切換的過程，對于本研究中的小型事件響應團隊來說根本不理想。而且，雖然 30-60 分鐘的問題解決時間似乎已經很快了，但如果一個團隊始終在處理大量此類事件，可能會不堪重負。且這還只是以一種安全事件為例，可以想象體量偏小的安全團隊更容易因事件響應而徹底透支。

事件響應自動化正在進行中
自動化的速度似乎滯后于事件加載速度。例如，28% 的受訪者已自動化網絡安全運營，但 40% 的受訪者將其列為數量最多的前 3 大事件類型。74% 的受訪者將網絡釣魚警報列為數量最多的前 3 個事件之一，但只有 37% 的受訪者已自動化網絡釣魚事件響應流程。

解決安全事件問題所需時間

本研究的受訪者有許多安全自動化方面的計劃將在不久的未來實施。當被問及他們計劃在未來 18 個月內自動化哪些安全運營時，22% 的受訪者表示“漏洞響應，例如勒索軟件”；19% 的受訪者表示“云安全與配置”；18% 的受訪者表示“網絡策略管理”。16% 的受訪者表示，他們將在未來 18 個月內實現網絡安全運營、訪問調查、網絡釣魚響應和威脅情報自動化。
在當今的 IT 安全模式中，需要使用大量工具/解決方案才能提供全面的防御和深度的覆蓋。從所有平臺提取并規(guī)范化日志/警報/事件很難使它們保持一致并對分析產生實際作用。能夠提供通用格式和清潔集成的解決方案提供商將是成功的關鍵。如果能夠一站式集成所有日志，那么就可以開始討論自動化的推進了。新技術的吸引力在于協(xié)助自動標記特定事件/警報，為分析師團隊節(jié)省時間，以便他們將精力僅放在調查最有可能發(fā)生的事件上。

讓企業(yè)更傾向于部署自動化的功能

事件響應團隊的規(guī)模往往較小
“不確定從何處入手”是未部署安全自動化的首要原因，50% 的受訪者表示這是他們最大的障礙。21% 的受訪者認為，缺乏預算和必要的技能是實現自動化的阻礙因素。因此，五分之四的受訪者顯然不存在缺少實現自動化所需的資金或訓練有素的人員的情況。14% 的受訪者表示管理層不了解這種需求。29% 的受訪者表示他們“使用目前的流程可達到很好的管理效果”。

沒有在安全運營中部署自動化的原因

調查結果

企業(yè)可能還希望尋找機會獲得能夠降低自動化復雜程度的解決方案，例如提供預構事件響應劇本的工具。我們具備實現更高水平自動化的可能性，這很可能成為保障業(yè)務運營安全的不可協(xié)商要求。挑戰(zhàn)則在于接受變更并努力使其成為現實。