验证安全有效性并减少对潜在风险的暴露
根据Mandiant的一份研究报告,如果没有安全性能的证据,公司可能会面临重大的网络安全风险。
从最高管理层和董事会到网络防御第一线的人员,都在不断努力加强网络卫生并将风险降至最低,对于组织来说,验证安全有效性变得至关重要。
企业在安全基础设施方面进行重大投资,雇佣和培训团队,并制定流程来保护关键资产。Mandiant的一份研究报告显示,在没有安全性能证据的情况下,这些组织的运营假设与现实不符,这给他们带来了巨大的风险。
报告称,组织应对这种脱节的最佳方法是通过持续的自动化评估、优化和合理化来验证安全计划的有效性。这将使组织能够通过保护关键资产、品牌声誉和经济价值,最大限度地降低整个组织的网络风险。
毫无疑问,衡量安全控制投资的有效性和正当性已成为企业的一项关键绩效指标,因为人们希望董事会和首席执行官提供可验证的证据,证明企业资产受到了保护,不受潜在违规行为的影响。
然而,根据Mandiant题为“深入研究网络现实”的报告,随着组织开始将网络风险作为业务问题来解决,他们也继续将安全作为信息技术(IT)功能来管理。这种动态暴露了IT(拥有基础设施)和安全团队(拥有保护业务的网络安全控制和流程)之间的错位。研究人员发现,这种脱节增加了安全团队产生可靠有效性证据的需求。
安全负责人表示,他们需要能够自信地回答重要问题,比如:
- 我的安全控制有多有效?
- 我能多快地评估威胁情报的相关性或我可能遭受的攻击?
- 如何阻止数据泄漏和保护数据完整性?
- 如何简化和标准化我的安全堆栈?
- 我可以为我的高管提供哪些关于关键安全指标的证据?
调查发现,目前企业的绩效低于预期水平。
数据显示,企业发现他们的预期能力与测量结果之间存在差异。平均而言,他们只能检测到26%的攻击,并阻止33%的攻击,这为优化他们的投资提供了机会。
此外,只有9%的攻击会产生警报。
总之,这会对事件响应产生负面影响,因为安全信息和事件管理(SIEMs)以及其他负责触发警报的技术无法提供高保真度来优先考虑和解决安全问题。
在通过安全验证进行测试时,一些攻击者技术和战术与企业环境中最常见的挑战有关。
安全工具通常被配置来应对挑战,但实际上可能没有得到很好的优化。优化效果不佳的最常见原因包括:
- 在默认的“开箱即用”配置下部署
- 缺乏在部署后进行调优和调整的资源
- 安全事件无法进入SIEM
- 无法强制控件测试
- 底层基础设施中的意外更改或漂移。
当安全主管被问到:“你认为你的控制在每个重点领域的表现如何?”“许多人在执行初始迭代测试后发现,他们的生产环境在应对这些挑战时表现远低于预期:
- 侦察
- 渗透和勒索软件
- 政策逃避
- 恶意文件传输
- 指挥与控制
- 数据漏出
- 横向运动。
一个典型的例子是在命令和控制领域,在测试的命令和控制活动中,执行的97%的行为在SIEM中没有生成相应的警报。
一个案例历史表明,为了合理化重大安全投资并确定剥离领域,能源部门的一个关键基础设施客户利用了安全验证。该团队的测试工作确定了功能重叠的领域,产品期望的低效率和总体安全态势的差距。研究结果为支持降低端点技术成本、纠正SIEM的警报差距以及通过第三方分析平台提供更好的执行报告提供了证据。
这些问题的常见原因是:过时或缺少站点分类,缺乏SSL检查,安全事件没有提交到SIEM。
本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。