資安領導人終於接受了今日威脅情勢的現況,也就是改變自己的心態,假設駭客已經入侵,然後專注於資安事件的偵測及回應。然而,承認駭客早晚會入侵是一回事,但建置一套有效的資安營運 (SecOps) 應變措施又是另一回事。打造資安營運中心 (SOC) 只算完成了一半的工作,正如趨勢科技之前所證明的,您需要的是正確的工具,不然,您的分析師將被大量的警示通知所淹沒而不知如何過濾其優先次序。
那麼,當前 SOC 團隊所面臨的挑戰到底有多艱難?根據趨勢科技最新統計,工具氾濫的問題已經到了刻不容緩的程度,這不僅意味著企業可能潛藏著重大的資安風險,更會影響 SecOps 分析師的心理健康。
一家企業平均使用29套資安工具
根據趨勢科技的全球 SecOps 調查指出,企業平均每一家約使用 29 套資安監控工具。大型企業的情況更糟:員工人數超過 1 萬的企業,平均每一家約使用 46 套資安監控工具。像這樣工具氾濫的情況,勢必會降低SecOps 團隊的效率,其衍生的問題包括:
- 額外的管理負荷,因為每一套工具都需要分開管理。
- 資安與偵測上的缺口。
- 工具功能互相重疊,造成人力的重複與浪費。
- 額外的授權成本。
- SecOps 人員需花費額外成本來學習不同的操作介面。
- 警示通知爆量。
趨勢科技發現,半數以上 (51%) 的企業有很多監控工具早就沒在使用,原因不外乎「工具老舊」、「無法整合」、「不信任這些工具」或是「企業缺乏相關技能來將工具融入營運當中」。其實這反倒是一個有利的發展:企業應趁機淘汰一些不合時宜的工具。不過,企業若想讓 SecOps 團隊發揮最大實力,那就需要一套更有策略的方法。
企業有什麼選擇?
在所有因工具氾濫而帶來的負面影響當中,警告爆量是最嚴重的一項問題。因為這會讓分析師無法過濾雜訊、誤判以及一些嚴重性較低的事件,進而找出真正重要的警訊。其結果將導致企業無法發現真正嚴重的駭客入侵活動,讓駭客有多餘的時間逗留在受害網路內部。事實上,根據 IBM 的研究指出,今日企業平均要 287 天的時間來偵測與控制一起資料外洩事件。
SecOps 團隊需要良好的單一資訊來源才能有效完成他們的工作,而且這樣他們才能同時分析多個防護層 (端點、電子郵件、伺服器、網路、雲端基礎架構) 的資料,套用數據分析來進行交叉關聯,找出應優先處理的警示。這項工作可以在企業內執行,也可以外包給資安專家。事實上,有 92% 的受訪者表示他們曾經考慮將偵測及回應工作委外給託管式服務來處理。
但不論何種方式,這就是 SOC 或 SecOps 在建立威脅偵測及回應能力時可採用的有效方法。以上分析,值得所有希望在後疫情時代繼續維持業務成長的企業好好思考。
本文轉載自趨勢科技部落格。