最新研究數據顯示，在2021年發現的惡意軟件新型變種超過1.7億個，這讓企業組織的CISO及其團隊在識别和阻止這些新威脅時面臨巨大(dà)的壓力。同時，他們還要面對各種挑戰：技能短缺、手動關聯數據、鑒别誤報和開(kāi)展漫長的調查等。

爲了确保企業的安全運營計劃能夠順暢執行，現代CISO們在日常工(gōng)作中(zhōng)，應該做好以下(xià)7個方面的思考和準備，以實現更加高效的安全威脅檢測與響應，保障企業數字化業務的穩定開(kāi)展。

思考1：當安全事件數量不斷增加時，如何快速識别真正的威脅？

随着數字化應用的不斷深入，安全團隊面對的安全事件在不斷增加，其增速通常會超過安全團隊自身的能力成長。任何CISO都不希望其團隊将時間浪費(fèi)在類似密碼誤輸入引起的登錄失敗事件上，因此需要能夠有效關聯和分(fēn)析這些安全事件數據，消除誤報信息，發現真正的威脅活動。

應重點關注的問題：企業能否關聯來自任何來源（比如日志(zhì)、雲、應用程序、網絡和端點等）的數據？能否全面監控所有系統，獲取所需的全部檢測數據，并自動執行關聯？關聯所有這些系統的成本又(yòu)是多少？

思考2：如何實現有連續性的數據關聯及分(fēn)析？

大(dà)數據分(fēn)析技術已經在網絡安全領域普遍應用，這就像從裝滿拼塊的盒子裏取出合适的一(yī)塊完成拼圖一(yī)樣。在網絡上識别出一(yī)次攻擊可能并不困難，但一(yī)旦威脅分(fēn)子潛入環境，常常會在較長時間内（幾天、幾周甚至幾個月）潛伏并進行試探性攻擊，分(fēn)析人員(yuán)幾乎不可能長時間處理這些看似不同的事件，并将它們聯系起來以洞察全局。大(dà)多數工(gōng)具還難以将這些看似獨立的事件關聯起來，并識别出這是同一(yī)起攻擊。CISO需要在預算有限的情況下(xià)動用一(yī)切資(zī)源，确保在重大(dà)危害發生(shēng)前洞悉企業全局安全狀況。

應重點關注的問題：現在是否有各種各樣的數據源和分(fēn)析工(gōng)具來有效地處理事件，并在很長的時間内将其關聯起來？是否有現成工(gōng)具用于實時攻擊檢測？

思考3：在分(fēn)析攻擊活動時，如何實現時間和資(zī)源效率的最優化？

在拼湊和分(fēn)析攻擊活動時，手動關聯和調查不同的威脅來源極大(dà)地增加了CISO及其團隊所需的時間和資(zī)源。安全團隊想要查明問題所在，需要從多個系統中(zhōng)提取數據，這是必要的。但在這段時間裏，危害可能早已釀成。這個挑戰很容易讓投入大(dà)量時間和金錢來建立安全運營計劃的CISO頗感沮喪。

應重點關注的問題：當前的團隊是否必須進行大(dà)量的手動關聯？面對持續數周乃至數月的事件，他們如何完成這項工(gōng)作？與其他IT團隊合作時，安全團隊是否必須借助多種工(gōng)具，并自行結合上下(xià)文，才能完成相應的工(gōng)作？

思考4：如何面對團隊安全能力不足的現狀？

如今，市場上沒有足夠多業務熟練的網絡安全專業人員(yuán)，企業很難招聘到在網絡、服務器及IT其他方面受過良好培訓、經驗豐富的從業人員(yuán)，CISO被迫雇傭更多缺乏從業經驗的分(fēn)析師。這些分(fēn)析師需要更多的在職培訓和經驗，才能勝任崗位。

應重點關注的問題：TDIR（威脅檢測調查與響應）平台如何自動執行某些任務？它如何提供必要的上下(xià)文來幫助經驗不足的分(fēn)析師逐漸學習、不斷提升？

思考5：如何透過産業的泡沫，找到真正滿足需求的産品及供應商(shāng)？

很多時候，供應商(shāng)們在技術、資(zī)源、經驗方面都會存在一(yī)些不足，難以滿足企業的實際需求。例如，在威脅檢測方面，一(yī)些供應商(shāng)聲稱自己支持機器學習、人工(gōng)智能、多雲支持及應用風險指标，但在實際落地時卻無法兌現承諾。

應重點關注的問題：解決方案是否真正使用基于規則的機器學習/人工(gōng)智能？多雲是否隻是進行關聯，而沒有進一(yī)步的分(fēn)析，最終仍然需要由人工(gōng)确定是否發生(shēng)了跨多雲環境的攻擊？風險評分(fēn)是否隻是從公共來源彙總的評分(fēn)，而不是利用基于分(fēn)析工(gōng)具的企業級風險引擎？

思考6：如何實現安全投入與防護效果之間的平衡？

供應商(shāng)常常會根據用戶獲取的數據量向其收費(fèi)，當組織規模壯大(dà)後，按獲取的數據量收費(fèi)變得不可預測，會導緻成本（許可和存儲）的急劇上升。CISO應尋找能夠減輕這種成本負擔，又(yòu)能夠讓組織獲取盡可能多數據的解決方案。

應重點關注的問題：解決方案是否會因爲獲取更多數據而支付更多費(fèi)用？它是否提供更好的可見性，并通過提供靈活的許可做到這一(yī)點？供應商(shāng)如何幫助組織降低安全建設成本？

思考7：如何利用自動化技術來提升安全檢測能力？

通過自動化手段可以讓安全團隊将注意力集中(zhōng)在更繁重的任務上，如果方法得當，還可以節省運營支出。這意味着花在低價值的簡單手動任務上的時間和資(zī)源會更少，爲處理高價值的任務縮短了時間。自動化手段還可以爲初級分(fēn)析師提供更好的體(tǐ)驗，可以讓他們不斷學習和改進。但并非所有的自動化天生(shēng)都一(yī)樣。如果解決方案産生(shēng)太多的幹擾和誤報，用戶很難确定調查優先級、實現響應自動化。

應重點關注的問題：自動化手段是否貫穿于整個SOC生(shēng)命周期？如果是這樣，怎麽知(zhī)道自動化在發揮功效？怎麽相信它在優化安全運營？

本文轉載自安全牛