IBM研究发现：使用超过50种安全工具会降低安全响应效率

2020 年6月底,IBM Security 发布一项全球报告,旨在研究企业在准备和应对网络攻击上的有效性。尽管受访组织在过去五年里已逐步提升了对规划、检测和响应网络攻击的能力,但在同一时期内,他们遏制攻击的能力却下降了 13%。这一全球调研由Ponemon Insitute主导、IBM Security赞助,结果显示,使用过多的安全工具以及缺乏针对常见攻击类型的特定操作手册,已经阻碍了安全响应工作。

尽管组织的安全响应规划能力正在缓慢提升,但是绝大多数受访组织 (74%) 仍表示,其安全响应计划要么只是临时计划,要么在执行方面无法确保一致性,或根本没有制定相应计划。这种缺乏规划的情况可能会影响安全事件的成本。就数据泄露方面的平均损失而言,拥有事件响应团队并且会广泛测试其事件响应计划的公司,要比未针对这两项因素采取措施的公司少损失 120 万美元。1

关于网络弹性组织的第五次年度调研报告(Cyber Resilient Organization Report)的主要结果包括:

· 缓慢提升:在过去五年的调研中,越来越多的受访组织采用了涵盖整个企业范围的正式安全响应计划;此类组织所占的比例从 2015 年的 18% 增长到了今年的 26%(增幅为 44%)。

· 需要操作手册:即使在已制定了正式安全响应计划的组织中,也只有三分之一的组织(占受访者总数的 17%)针对常见的攻击类型编制了特定的操作手册,而针对勒索软件等新兴攻击方法而制定了计划的组织则更少。

· 复杂性阻碍了响应:受访组织所用安全工具的数量对威胁生命周期的多个类别造成了负面影响。与使用较少工具的组织相比,使用 50 多种安全工具的组织,其攻击检测能力降低了 8%,对攻击的响应能力降低了 7%。

· 规划水平更高、业务中断更少:在整个企业中运用了正式安全响应计划的组织,由于网络攻击而遭受重大破坏的可能性更小。在过去的两年里,这些组织中只有 39%曾遭受过破坏性安全事件,相比之下,在响应计划不够正式或一致性较低的组织中,遭受过破坏性安全事件的组织比例高达 62%。

IBM X-Force 威胁情报副总裁 Wendi Whitmore 表示:“尽管越来越多的组织已经开始认真考虑事件响应计划,但针对网络攻击做好准备并非易事。组织还必须着重于定期测试、演练和重新评估其响应计划。借助可互操作的技术及自动化,还有助于组织克服复杂性挑战,并缩短遏制事件所需时间。”

更新操作手册,以应对新兴威胁

该项调研发现,即使在已制定了正式网络安全事件响应计划(cybersecurity incident response plan, CSIRP)的组织中,也只有 33% 的组织编制了针对特定类型攻击的操作手册。由于不同类型的攻击需要对应独特的响应技术,因此拥有预定义的操作手册可为组织提供一致且可重复的行动计划,帮助他们应对可能面临的最常见攻击。

在少数拥有针对特定攻击的操作手册的受访组织中,最常见的操作手册是针对 DDoS 攻击(64%)和恶意软件(57%)的操作手册。尽管这些方法历来都深受企业所重视,但诸如勒索软件之类的其他攻击方法却在不断增多。尽管近年来勒索软件攻击的数量激增了近 70%，2但在已编制了操作手册的组织中,只有 45% 的组织制定了针对勒索软件攻击的计划。

此外,超过一半(52%)拥有安全响应计划的组织表示,他们从未审查过此类计划,或者没有就此类计划的审查或测试设定时限。随着远程劳动力数量的增多导致业务运营模式迅速变化,而且新的攻击技术被不断引入,这些数据表明,许多受访企业可能依赖于过时的响应计划,而这些计划并不能应对他们当前的威胁和业务格局。

工具过多削弱了响应能力

该报告还发现,复杂性对事件响应能力产生了负面影响。受访者估计,他们的组织平均使用 45 种以上的安全工具,而且他们在响应每个事件时,平均需要对大约 19 种工具进行协调。该项调研还发现,工具过多实际上会阻碍组织处理攻击的能力。在该项调研中,使用 50 多种工具的受访者表示他们检测攻击的能力降低了 8%(5.83/10 对比 6.66/10),响应攻击的能力降低了 7%(5.95/10 对比 6.72/10)。

这些调研结果表明,采用更多工具并不一定会改善安全响应效果,实际结果可能会恰恰相反。使用开放、可互操作的平台及自动化技术,有助于降低跨互不关联的工具进行响应的复杂性。在该项调研评出的高绩效组织中,有 63% 的组织表示,使用可互操作的工具有助于他们提高对网络攻击的响应能力。

更好的规划能带来回报

今年的报告表明,已制定了正式计划的受访组织在响应事件方面更加成功。在整个企业范围内一致地采用 CSIRP 的受访组织中,只有 39% 的组织在过去两年里遭遇过对组织造成了重大破坏的网络事件,而在没有制定正式计划的组织中,此类组织所占的比例高达 62%。

至于影响这些组织攻击响应能力的具体原因,受访者表示,安全人员的技能是最重要的因素。61% 的受访者将雇用技能熟练的员工视为网络弹性提升的首要原因之一;在那些表示自己所在组织的弹性未得到改善的受访者中,有 41% 的受访者将缺乏技能熟练的员工列为这方面的首要原因。

技术是有助于受访组织提高网络弹性的另一个差异化因素,尤其是在帮助他们解决复杂性的工具方面。对于具有较高网络弹性水平的组织而言,有助于提升其网络弹性水平的前两个因素分别是应用和数据的可视性(占比为 57%)和自动化工具的可视性(占比为 55%)。总体而言,所有这些数据都表明,在攻击响应准备方面更加成熟的受访组织会更加依赖技术创新来提升自身的网络弹性。