CIO所面对的7项新的威胁探测和处理
软件目录(www.cnosoft.com)5月16号讯:目前,许多公司的安全运行小组都在遭受各种类型的网络袭击和各种类型的病毒。实际上,一份最新调查显示,仅仅在2021年,全世界就会有超过1.7百万种新的病毒。所以,公司的 CIO和他们的安保小组承担着很大的责任来确认并制止这种新的危险。在这一进程中,他们要面对的是一系列的问题:技能不足、数据关联、虚报、冗长的研究。这篇文章将介绍 CIO所面对的几个威胁探测项目,以及他们怎样提高安全性操作的建议。
CIO确保在威胁探测,调查和响应方面,确保运行方案的最优表现。下面是七个重要问题,这些问题会影响到企业的检测、调查和响应,并且 CIO应该向企业、安全运营团队和供应商们询问。
1.由于在互联网上出现了过多的数据泄漏或不能适当地确定该恶意行为的安全性问题
所以,许多 CIO都在寻求先进的方法来高效地联系并对其进行分析,从而排除错误。没有一个 CIO会想要他的小组把宝贵的精力花在登陆失败上,这很有可能仅仅是因为他们的密码输入了很多个不正确的密码。
问题:是否可以将数据与日志,云服务,应用程序,网络,端点等相联系?是否可以对这些设备进行完整的监测,以获得必要的远程测量并实现相关的自动化?将所有的数据联系起来需要花费多大的代价(解决方案供应商收费)?
2.长期难以进行相关的数据
这就好比在一堆由许多块拼图拼凑而成的拼块。一旦出现了一次网络袭击,就很难以辨认了。但一旦这些被恐吓的人渗透进来,他们往往会在很久以后(有时几天、几周或几个月)再次发动某些网络袭击。因此,分析人士很难把那些看上去毫不相干的事情串联在一起,以求解开谜团。
很多的软件都很难把这两个貌似无关的事情联系在一起,毕竟在过去的几年里,他们看上去并没有什么联系。CIO的职责是保证小组(根据预算的限制)具备所有必要的东西,从而在破坏发生前把这些问题一一处理掉。
问题:有没有大量的资料来源和分析能在不同时期高效地进行事件的处理和联系?在即时的袭击探测中,有没有准备好的危险信息?
3.在处理网路袭击事件中,人为联系和侦查各种安全来源,会大大拖延 CIR和 CIO的工作人员所需要的时间,并且使资源枯竭
需要一次从多个体系中抽取资料,以便找到问题发生(和怎样应对)需要的情景资讯。但是,在此期间,它会带来伤害。这个问题很可能会使 CIO失望,他们花费了很多的时间和金钱来制定一个安全操作方案。
问题:现有的公司开发人员需要做很多的人工关系吗?他们怎么可能在几个星期或几个月内完成这个任务呢?当你和其它 IT小组一起工作时,你的公司团队需要寻找各种不同的方法,然后自己把它们结合起来,以便找到帮助开发更好的反应的模型吗?
4.技术上的鸿沟依然存在
但是,随着网络、服务器和 IT领域的资深从业者们渐渐离开了工作岗位, CIO不得不雇用更多的从事安保工作的分析员,但是他们的工作经历已经变得很匮乏,而且目前的网络安保专家缺乏。
问题:企业的检测、调查和响应的平台是怎样使特定的工作自动化的,并把合适的情景引入到第一线?它是怎样为缺乏经验的分析员们在一段时期内学会和增值所必需的情景呢?
5.供货方的许诺过多,交货情况欠佳
在威胁侦测领域,许多厂商都宣称或夸大其词,他们拥有机器学习,人工智能,多云支持的应用程序的危险指数。CIO经常被那些自称是在最坏的时候能找到最好的办法来处理问题的供货商,但是却没有做到。
问题:这个方法是不是采用了基于规则的 AI/机器学习(因为其本身是静态的,需要更新,并且无法发现新的网络袭击和变化)?多云情况下仅仅进行了相关(取决于分析人员决定是否在多云区域内进行了袭击)?危险分数仅仅是从公开资料中获得的综合得分(而非使用公司级别的危险发动机)吗?
6.在费用和费用与提高安全性的可视化两者之间进行取舍也许是一种令人痛苦的抉择
CIO经常使用诸如 SIEM之类的平台,基于所获取的资料数量,对使用者收费。当公司成长时,根据获取的资料支付费用难以预料,而且很快就会造成授权和储存费用的快速增长。所以, CIO应设法降低成本,并让公司尽量吸收更多的资料。其成果是提高了安全性操作中心的能见度和更有效的检测、调查和响应。
问题:如果要使用真实的机器学习,尽可能多地获取更多的信息。它的解决办法将会被引进更多的资料吗?还是说,为了提高可视度,增加了更多的信息,并且可以使用更多的授权?供应商怎样才能减少储存费用?
7.自动化能使有效和加速对危险的探测
这样,安保小组的人员就能把精力放在更高强度的工作上。这样做可以节约操作费用,这就可以减少人力资源和时间,减少人力和时间,减少高效率的工作。同时,这也能给初学者带来更好的经验,让他们能够从中吸取教训,提高自己。
但是,不是一切的自动化都一样。由于噪声过大,错误率过高,因此很难识别出重点的研究和自动化反应。如果你的攻击探测得更精确,那么你的反应就会更有目标。
问题:在安全性操作中心的整个寿命过程中,都有自动的解决办法吗?若如此,如何才能确定其运作,又如何认为其运作最佳(比如,是否可显示其已较早期扼制了该系统的攻击)?
由于 CIO和他们的安全操作小组正在努力改善威胁探测,他们将会面对许多不同的问题,如可见性,成本,灵活性,特别是在云环境中,分析,优先级,场景数据等。然而,在了解这些问题的过程中,在掌握了知识和问题之后,各个产业就能够持续发展。同时,也为公司的安全运行创造了良好的条件。
