设备平均每天产生10,000个安全事件
安全事件的数量说明了为什么最近备受瞩目的攻击在这么长时间内都没有被发现。
一份新报告称,一家公司网络中的设备平均每天产生10,000个安全事件,最活跃的设备每天产生约150,000个安全事件。
此外,根据Damballa的2014年第一季度感染状况报告,全球分散的大型企业平均每天有97台活跃的受感染设备,平均每天泄露超过10GB的数据,该报告分析了50%的北美ISP互联网流量和33%的移动流量,以及来自全球ISP和企业客户的大量流量。
这只是一个小迹象,表明安全人员手动查看堆积如山的警报,以发现哪些(如果有的话)构成了真实和当前的威胁,是多么令人生畏。
它还揭示了为什么最近针对塔吉特(Target)等组织的高调攻击长时间没有被发现,因为警报不等于感染。确定设备是否感染的唯一方法是将记录的活动关联起来,这需要太多的时间和人力。
威胁行为者使用域生成算法(DGA)等高级技术生成大量随机域名,可以逃避预防控制并延迟识别实际感染。这些技术要求安全团队在数千个异常IP域中跋涉,以找到承载真正有效载荷的IP地址。
在丹巴拉实验室(Damballa Labs)进行的一项测试中,“脏”网络流量最终通过1200多个模拟端点回放,他们能够为每个实际感染收集并关联538个证据。
Damballa的CTO Brian Foster说:“我们已经面临着熟练安全专业人员的严重短缺,根据Frost & Sullivan的最新数据估计,到2017年,这一缺口将达到47%。”“如果我们将这一事实与数据泄露事件的增加以及从每天袭击企业的大量安全事件中识别真正感染所需的工作范围结合起来,我们就能明白为什么安全人员正在努力应对。”
如前所述,所研究的企业平均每天感染97例。减少查找这些受感染设备所需时间的能力具有重要意义。波耐蒙研究所报告称,企业平均需要近3个月(90天)才能发现恶意攻击,而解决恶意攻击则需要4个月或更长时间。
如果能够将97台受感染设备的发现时间从90天缩短至1天,则每台设备将节省89个人工日,或每个企业节省8,633个人工日(23.65年)。这不仅节省了大量的时间,而且还大大缩短了企业容易受到特定攻击的时间。
格雷戈里·黑尔是工业安全和安保来源(ISSSource.com)的编辑和创始人,这是一个涵盖制造业自动化领域安全和安保问题的新闻和信息网站。本内容最初出现在ISSSource.com.由CFE媒体项目经理布列塔尼·默科特编辑,bmerchut (at) cfemedia.com
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。