CISO面临的七个威胁检测挑战

在本文中，我们将探讨CISO在威胁检测方面面临的主要挑战，以及改进安全运营的关键问题。

今天，企业安全运营团队面临的最大挑战就是威胁检测的难度不断加大，因为恶意软件变种和新型攻击技术正在快速增长。根据最新研究，仅2021年全球就发现了超过1.7亿个新的恶意软件变种。企业的CISO和安全团队识别和阻止这些新威胁的负担空前沉重。同时，他们还面临着各种挑战：人才与技能短缺、手动数据关联、误报、冗长的调查等等。

应对威胁检测挑战的关键是：CISO需要确保威胁检测、调查和响应(TDIR)安全运营计划的高效执行。下面我们将探讨可能影响TDIR计划的七个关键问题，以及CISO需要向其企业、安全运营团队以及安全厂商提出的一些重点问题。

1.网络中的危害指标(IoC)或安全事件太多，无法正确识别恶意活动。这是最为常见的问题之一，CISO正在寻找能够有效关联和分析这些数据以消除误报的高级工具。任何企业或者机构的CISO都不希望安全团队将时间浪费在诸如用户多次输入密码导致登录失败这样的无关紧要的误报中。

重点问题：我能否关联来自任何来源（如日志、云、应用程序、网络、端点等）的数据？能否全面监控所有这些系统，获取所需的所有遥测数据并自动执行关联？关联所有这些数据的成本是多少（即，我的安全解决方案提供商的要价是多少）？

2.随着时间的推移，关联数据变得愈发困难。这就像将一个装满多个谜题的盒子堆放在一起。单次攻击可能很难识别。但是一旦攻击者进入环境，他们通常会在较长时间内（有时几天、几周或几个月后）进行一些小型活动。这使得人类分析师几乎不可能跨时间处理这些看似不同的事件并将它们关联起来以破解难题。

大多数安全工具还难以将这些看似独立的事件关联为同一攻击的一部分，因为它们随着时间的推移似乎没有太多相关性。CISO的责任是确保安全团队拥有所需的一切（基于有限的预算），以便在攻击造成损害之前将难题拼凑在一起。

重点问题：是否有各种各样的数据源和分析工具可以有效地处理事件，并将它们跨时间关联？（产品和解决方案）是否提供开箱即用的威胁内容以用于实时攻击检测？

3.在拼凑还原攻击活动时，手动关联和调查不同的安全信息源大大增加了CISO及其团队所需的时间和资源。一次从多个系统中提取数据对于获取攻击检测（以及如何响应）所需的上下文信息是非常重要的。但在这段窗口时间内，攻击损害可能已经造成。这很容易让投入大量时间和金钱来建立和实施安全运营计划的CISO感到沮丧。

重点问题：您当前的团队是否必须进行大量手动关联，他们如何对跨越数周甚至数月的事件进行手动关联？在与其他IT团队合作时，您的安全团队是否必须自行搜索多种工具并组合上下文信息来发现制订安全响应计划所需的攻击模式？

4.技能差距仍然是一个问题。随着网络、服务器和IT其他方面接受过培训的经验丰富的IT从业人员逐渐衰老退出劳动力市场，CISO被迫雇佣更多专注于安全技能的分析师，这导致网络安全行业从业人员的IT经验和技能宽度越来越窄，这导致对安全人员的培训需求不断增长，因为当今人才市场上没有足够多的熟练网络安全专业人员。

重点问题：TDIR平台如何自动执行某些任务并将正确的上下文信息呈现出来。它如何提供必要的上下文信息来帮助经验不足的分析师在工作中学习成长？

5.安全厂商过度承诺和交付不足。在威胁检测方面，太多安全厂商误导或者夸大其产品功能，例如宣称他们拥有机器学习(ML)、人工智能(AI)、多云支持和/或应用风险指标。CISO往往被安全厂商“围攻”，但很多宣称能够提供灵丹妙药的厂商往往无法兑现承诺。

重点问题：安全厂商的解决方案是否使用基于规则的ML/AI（本质上是静态的、需要更新并且难以识别新的攻击和恶意软件变体，认识到这一点很重要）？多云是否只是进行关联（由分析师确定是否跨多云发生攻击）？风险评分是否只是公共来源的汇总评分（而不是基于分析的企业级风险引擎）？

6.成本和预算与更好的安全可见性之间的权衡可能是一个痛苦的选择。CISO经常面对的安全平台（如SIEM）会根据处理的数据量向企业收费。随着企业的发展，按处理数据量收费是不可预测的，并且会迅速导致许可费用和存储成本迅速上升。因此，CISO需要寻找能够降低这种成本负担的解决方案，同时又不影响企业提取和处理尽可能多的数据，实现更好的SOC可见性和更有效的TDIR。

重点问题：对于真正采用机器学习技术的解决方案，“投喂”的数据越多越好，但解决方案是否会因为处理更多数据而产生额外的成本或者负面影响？它是需要摄入更多数据才能提供更好的可见性？同时厂商是否提供灵活的许可收费机制帮助企业降低成本？安全厂商如何帮助企业降低存储成本？

7.自动化可以提高效率并加快威胁检测。自动化可以让安全团队成员将注意力更多集中在关键任务上，这将节省运营成本，因为花费在简单和低价值手动任务上的时间和资源更少，同时也缩短了完成高价值任务的时间。自动化还可以为初级分析师提供更好的体验，尤其是当您的分析和自动化是透明的时，分析师们可以在工作中不断学习和改进。

但并非所有的自动化都是平等的。产生过多噪音和过多误报的解决方案使安全团队难以确定调查和自动响应的优先级。威胁检测越准确，自动响应就越有针对性。

重点问题：安全解决方案中的自动化是否贯穿我的整个SOC生命周期？如果是这样，我怎么知道它是有效的，我怎么能相信它正在优化我的操作（例如，它能否显示我在杀伤链的早期阻止了威胁）？

当CISO及其安全运营团队开始寻求改进威胁检测时，将面临与可见性、成本、灵活性（尤其是云环境）、分析、优先级、上下文数据等方面的诸多问题。只有找到正确的问题和知识，企业安全主管们才能进一步推动安全运营的优化工作。

（来源：@GoUpSec）