为什么当前的网络安全事件响应工作大多失败了?

为什么当前的网络安全事件响应工作大多失败了?-51CTO.COM

关键业务应用程序被认为是企业的重要资产，例如SAP公司和Oracle公司提供的ERP系统。这些资产包含企业最有价值的数据：从机密的财务信息到私人客户和合作伙伴的详细信息。非法获得这些应用程序访问权限的网络攻击者通过劫持企业的工资系统、关闭生产设施或将大量资金转移到自己的银行账户造成大规模破坏，给企业带来了巨大的损失。

尽管这些应用程序具有很高的价值，但由于存在一些关键漏洞，它们将始终处于风险之中。与此同时，安全团队一直面临带宽和资源有限的挑战。

以下将探讨当前网络安全事件响应工作失败的原因，以及基于风险的主动方法如何使企业能够最有效地减少风险和漏洞，并最大限度地利用其有限资源获得回报。

了解当前事件响应流程中的差距

许多企业在许多安全技术上投资，以确保其关键业务的安全。为了控制每一个攻击向量，他们在端点安全工具、网络防御、身份验证和身份解决方案、应用程序交付服务等方面投入大量资金。虽然这些功能至关重要，但为包含最重要资产的关键应用程序本身分配的预算或时间却很少。许多安全机构都强调了网络犯罪分子如何直接进入关键业务应用程序，并且在数月甚至数年内不被发现，同时窃取受害者的财产。

收益递减规律在网络安全中非常普遍：任何资产或任何攻击向量的第一层防御都可以最大程度地降低风险。既然关键应用程序成为直接网络攻击的目标，它们也必须受到更好的保护。

企业通常会生成事件响应手册，根据网络攻击类型(例如勒索软件或零日漏洞利用)概述策略。如果更深入地了解企业的关键业务应用程序环境，并创建一个专注于最重要的资产、系统和流程的行动手册，则可以更有效地降低企业面临的风险。

对事件响应采取基于风险的方法

基于风险的事件响应方法使企业能够根据漏洞和事件对构成的风险级别确定它们的优先级。评估风险的最简单方法是计算发生频率和严重程度。恶意软件经常到达端点，响应和清理可能会花费数千美元的费用(直接成本和生产力损失)。此外，世界各地的安全团队都会认同这一点，面向互联网的系统上的漏洞必须优先考虑并进行修复。这些系统不断受到攻击，并且随着发生率快速增长，风险也在不断增加。

同样，有许多网络威胁组织给很多企业造成了数百万美元的损失，在某些情况下，还造成了一些企业数千万的运营损失和ERP系统停机时间。大型企业衡量ERP系统中简单维护窗口的损失高达数千万美元。因此，很难想象对业务关键型应用程序漏洞进行大量计算的成本。随着严重程度增加到一定数量级，安全风险也会增加。

与发生率最高的面向全球互联网的系统一样，关键业务应用程序的影响严重程度也最高。基于风险的方法还可以帮助IT团队正确分配他们的工作和预算，并最大限度地降低风险。

结合现代漏洞管理工具

借助现代漏洞管理工具，安全团队可以全面了解IT环境中的所有资产，包括内部部署、云平台或两者兼有的资产。这使他们能够对系统内的所有资产进行清点，识别任何隐藏的或先前已知的漏洞，并对所有漏洞进行记录。

这些工具还可以为安全团队提供对每种威胁、其业务影响及其相关风险的自动评估，并随后为每个威胁分享详尽的描述和解决方案。捕获企业威胁环境完整视图的漏洞管理功能可以帮助安全团队了解他们的攻击面，并节省大量时间、资金和资源。

虽然这听起来很理想，并且直接推动了基于风险的事件响应流程的目标，但简单的事实是存在一个关键差距。防火墙和漏洞扫描程序等传统工具是必要的，虽然它们可能涵盖关键业务应用程序中的系统级问题，但它们根本不支持应用程序本身。企业可能会检测到底层操作系统漏洞，但不会检测到SAP自定义代码问题或电子商务套件应用程序层缺陷。

捍卫企业的重要资产

如今，威胁行为者拥有直接针对企业的关键任务应用程序，并进行高度复杂攻击的知识和能力。只有那些准备充分的企业才能保护他们的重要资产，并防止对这些系统的攻击造成长期影响。

企业的首席安全官和事件响应团队需要做好准备，将IT环境中其他地方存在的相同标准和安全操作成熟度引入业务关键应用程序以前不可侵犯的领域。网络攻击者已经在这样做，防守者也应该这么做。