CISO们面对新型威胁挑战时应做的7点思考

最新研究数据显示，在2021年发现的恶意软件新型变种超过1.7亿个，这让企业组织的CISO及其团队在识别和阻止这些新威胁时面临巨大的压力。同时，他们还要面对各种挑战：技能短缺、手动关联数据、鉴别误报和开展漫长的调查等。

为了确保企业的安全运营计划能够顺畅执行，现代CISO们在日常工作中，应该做好以下7个方面的思考和准备，以实现更加高效的安全威胁检测与响应，保障企业数字化业务的稳定开展。

思考1：当安全事件数量不断增加时，如何快速识别真正的威胁？

随着数字化应用的不断深入，安全团队面对的安全事件在不断增加，其增速通常会超过安全团队自身的能力成长。任何CISO都不希望其团队将时间浪费在类似密码误输入引起的登录失败事件上，因此需要能够有效关联和分析这些安全事件数据，消除误报信息，发现真正的威胁活动。

应重点关注的问题：企业能否关联来自任何来源（比如日志、云、应用程序、网络和端点等）的数据？能否全面监控所有系统，获取所需的全部检测数据，并自动执行关联？关联所有这些系统的成本又是多少？

思考2：如何实现有连续性的数据关联及分析？

大数据分析技术已经在网络安全领域普遍应用，这就像从装满拼块的盒子里取出合适的一块完成拼图一样。在网络上识别出一次攻击可能并不困难，但一旦威胁分子潜入环境，常常会在较长时间内（几天、几周甚至几个月）潜伏并进行试探性攻击，分析人员几乎不可能长时间处理这些看似不同的事件，并将它们联系起来以洞察全局。大多数工具还难以将这些看似独立的事件关联起来，并识别出这是同一起攻击。CISO需要在预算有限的情况下动用一切资源，确保在重大危害发生前洞悉企业全局安全状况。

应重点关注的问题：现在是否有各种各样的数据源和分析工具来有效地处理事件，并在很长的时间内将其关联起来？是否有现成工具用于实时攻击检测？

思考3：在分析攻击活动时，如何实现时间和资源效率的最优化？

在拼凑和分析攻击活动时，手动关联和调查不同的威胁来源极大地增加了CISO及其团队所需的时间和资源。安全团队想要查明问题所在，需要从多个系统中提取数据，这是必要的。但在这段时间里，危害可能早已酿成。这个挑战很容易让投入大量时间和金钱来建立安全运营计划的CISO颇感沮丧。

应重点关注的问题：当前的团队是否必须进行大量的手动关联？面对持续数周乃至数月的事件，他们如何完成这项工作？与其他IT团队合作时，安全团队是否必须借助多种工具，并自行结合上下文，才能完成相应的工作？

思考4：如何面对团队安全能力不足的现状？

如今，市场上没有足够多业务熟练的网络安全专业人员，企业很难招聘到在网络、服务器及IT其他方面受过良好培训、经验丰富的从业人员，CISO被迫雇佣更多缺乏从业经验的分析师。这些分析师需要更多的在职培训和经验，才能胜任岗位。

应重点关注的问题：TDIR（威胁检测调查与响应）平台如何自动执行某些任务？它如何提供必要的上下文来帮助经验不足的分析师逐渐学习、不断提升？

思考5：如何透过产业的泡沫，找到真正满足需求的产品及供应商？

很多时候，供应商们在技术、资源、经验方面都会存在一些不足，难以满足企业的实际需求。例如，在威胁检测方面，一些供应商声称自己支持机器学习、人工智能、多云支持及应用风险指标，但在实际落地时却无法兑现承诺。

应重点关注的问题：解决方案是否真正使用基于规则的机器学习/人工智能？多云是否只是进行关联，而没有进一步的分析，最终仍然需要由人工确定是否发生了跨多云环境的攻击？风险评分是否只是从公共来源汇总的评分，而不是利用基于分析工具的企业级风险引擎？

思考6：如何实现安全投入与防护效果之间的平衡？

供应商常常会根据用户获取的数据量向其收费，当组织规模壮大后，按获取的数据量收费变得不可预测，会导致成本（许可和存储）的急剧上升。CISO应寻找能够减轻这种成本负担，又能够让组织获取尽可能多数据的解决方案。

应重点关注的问题：解决方案是否会因为获取更多数据而支付更多费用？它是否提供更好的可见性，并通过提供灵活的许可做到这一点？供应商如何帮助组织降低安全建设成本？

思考7：如何利用自动化技术来提升安全检测能力？

通过自动化手段可以让安全团队将注意力集中在更繁重的任务上，如果方法得当，还可以节省运营支出。这意味着花在低价值的简单手动任务上的时间和资源会更少，为处理高价值的任务缩短了时间。自动化手段还可以为初级分析师提供更好的体验，可以让他们不断学习和改进。但并非所有的自动化天生都一样。如果解决方案产生太多的干扰和误报，用户很难确定调查优先级、实现响应自动化。

应重点关注的问题：自动化手段是否贯穿于整个SOC生命周期？如果是这样，怎么知道自动化在发挥功效？怎么相信它在优化安全运营？