公司安全事件响应计划很可能并没有想象中那么健壮。一份新出炉的调查报告显示,事件响应计划的真实效果与安全主管的认知之间存在巨大差距。这项研究表明,安全主管往往对自身安全事件响应能力充满迷之自信。
波耐蒙研究所对全球2848名IT及IT安全人员进行了调查研究,发现因为缺乏规范化的事件响应计划和足够的预算,公司企业在安全事件响应方面依然倍感棘手。
其《第三次网络弹性组织年度研究》报告显示,近一半(48%)的受访者将其“网络弹性”评级为“高”或“非常高”,对自身网络弹性水平充满自信的人数比例比上一年增加了32%。研究人员对网络弹性的定义是:预防、检测与响应能力的整合,管理、缓解网络攻击,并从网络攻击中恢复到正常运营的能力。
然而,77%的受访者承认,他们并没有一个能在公司范围内一致应用的规范化事件响应计划。近半数受访者称当前响应计划不太正式,或者根本没有这种计划。
这就有点矛盾了。受访者纷纷表示对自己的网络弹性信心更足了,但一涉及细节,情况却不那么乐观。
良好网络弹性的组成部分包括技术人才、信息监管操作、正式而全面的事件响应计划、能解决各类攻击的技术和产品、重足的资金、来自高级管理层的支持,还有对数据和应用的可见性。
受访者普遍认为,提高网络弹性的最主要办法就是雇佣有经验的技术人才(61%),其次是设置良好的信息监管(60%),然后是拥有够高的数据资产及应用可见性(57%)。
然而,人才招募依然面临难以跨越的障碍:无力雇佣和保留技术人才是网络弹性第二常见的障碍,有56%的受访者都这么认为。79%的受访者将拥有资深安全技术人才的重要性视为“高”或“非常高”;与此同时,77%的受访者将雇佣和留住这些人才的难度定为了“非常高”。
难以雇到并留住安全技术人才的部分原因,在于事件响应专家需要相当宽的知识面,要通晓多种技术集。他们必须什么都知道一点:终端、网络、操作系统,还有有关恶意软件的方方面面。
找到人才和留住人才之难,已经是众所周知的了。拥有事件响应技术的人现在是千金难求。事件响应专家所需的广泛而稀缺的技术集,更加加剧了这一人才危机。
而网络弹性的最大障碍,还在于缺乏对网络安全新技术的投入,比如人工智能和机器学习(60%)。运用了人工智能的工具可以有效缓解“警报疲劳”,让分析师得以专注在更复杂的任务上。事件响应计划中的某些关键部分,比如检查终端检测与响应(EDR)平台、部署URL监视等等,都可以运用人工智能加以自动化。
事件响应并非一招通吃
有些公司的事件响应计划相当薄弱,很难说能起到什么作用。有些公司则又在计划中包含了所有可能的情况,导致响应策略相当臃肿。
上一篇: 2018年PKI五大发展趋势