IBM的最新全球調查發現,企業配備更多安全工具反而導致無效的安全響應,且大多數組織沒有針對常見和新興攻擊的具體計劃和預案。
IBM的《年度企業網絡彈性報告》今年已經是第五版,該調查主要是考察企業在準備和應對網絡攻擊方面的有效性。調查發現,儘管企業在過去五年中已逐漸提高了對網絡攻擊進行計劃、檢測和響應的能力,但在同一時期內,遏制攻擊的能力卻下降了13%。根據IBM全球調查,使用太多的安全工具以及缺乏針對常見攻擊類型的特定操作手冊,阻礙了企業的安全響應工作。
儘管安全響應計劃的改進速度正在緩慢提高,但是絕大多數組織(74%)仍報告其計劃是臨時的、應用不一致或者根本沒有計劃。這種缺乏計劃的情況可能會極大地影響安全事件的成本,因為擁有事件響應團隊並廣泛測試其事件響應計劃的公司在數據泄露方面的平均支出要比同時擁有這兩個節省成本因素的公司少120萬美元。
IBM 年度網絡彈性報告的主要發現包括:
緩慢改進的安全響應計劃:在過去5年中,越來越多的組織採用了正式的企業範圍的安全響應計劃;從2015年的18%的受訪者增長到今年的26%(改善了44%)。
缺乏針對性預案:即使在制定了正式安全響應計劃的預案中,也只有三分之一(佔受訪者總數的17%)針對常見的攻擊類型開發了特定的預案,而針對勒索軟件等新興攻擊方法的計劃則遠遠落後於此。
複雜性阻礙了響應:組織使用的安全工具數量對威脅生命週期的多個類別都具有負面影響。與使用較少工具的組織相比,使用50多種安全工具的組織的檢測能力降低了8%,而對攻擊做出響應的能力降低了7%。
更好的計劃,更少的損失:在整個企業中應用了正式安全響應計劃的公司,由於網絡攻擊而遭受重大破壞的可能性要小得多;在過去的兩年中,這些公司中只有39%經歷了破壞性的安全事件,相比之下,那些計劃準備不足或者一致性較低的公司遭受破壞性安全事件的比例高達62%。
IBM X-Force威脅情報部門副總裁Wendi Whitmore表示:“儘管越來越多的組織認真對待事件響應計劃,但為網絡攻擊做準備並不是一件容易的事。組織還必須定期關注測試,實踐和重新評估其響應計劃。利用可互操作的技術和自動化還可以幫助克服複雜性挑戰,並加快解決事件所需的時間。”
更新預案以應對新興威脅
調查發現,即使在擁有正式網絡安全事件響應計劃(CSIRP)的組織中,也只有33%的組織有針對特定類型攻擊的手冊。由於不同類型的攻擊需要獨特的響應技術,因此擁有預定義的操作手冊可為組織提供針對他們可能面臨的最常見攻擊的一致且可重複的行動計劃。
在制定了針對特定攻擊的預案的少數組織中,最常見的預案是針對DDoS攻擊(64%)和惡意軟件(57%)的。儘管這些方法歷來是企業的頭等大事,但諸如勒索軟件之類的其他攻擊方法正在不斷增加。儘管近年來勒索軟件攻擊激增了近70%,但只有45%的人制定了勒索軟件攻擊計劃。
此外,超過一半(52%)的制定了安全響應計劃的受訪者表示,他們從未審查過或沒有規定的期限來審查/測試這些計劃。面對新冠疫情中越來越多的遠程勞動力使業務運營發生快速變化,並且不斷引入新的攻擊技術,該數據表明許多企業的業務都依賴於過時的響應計劃,這些計劃無法反映當前的威脅和業務前景。
更多安全工具導致響應能力更差
該報告還發現,複雜性對事件響應能力產生了負面影響。接受調查的人員估計,他們的組織平均使用45種以上的安全工具,並且他們響應的每個事件平均需要對大約19種工具進行協調。該研究還發現,過多的工具實際上可能會阻礙組織處理攻擊的能力。在調查中,使用50多種工具的人員將其發現攻擊的能力降低了8%,而對攻擊做出的響應則降低了7%。
這些發現表明,採用更多安全工具並不一定會提高安全響應的效率,實際上,這樣做可能適得其反。使用開放的,可互操作的平台以及自動化技術可以幫助降低跨工具進行響應的複雜性。在報告中的高績效組織中,有63%的人表示可互操作安全工具的使用幫助他們提高了對網絡攻擊的反應。
更好的安全計劃能帶來回報
今年的報告提供了明確的證據,表明對正式安全計劃進行投資的組織在應對事件方面更為成功。在整個企業中始終採用CSIRP的公司中,只有39%的事件在過去兩年中對組織造成了重大破壞,而沒有正式計劃的公司中有62%。
報告還發現,在企業應對攻擊能力的調查中,安全人員技能是最重要的因素。61%的受訪者將企業安全彈性歸功於僱用了熟練的員工;而那些表示缺乏安全彈性的企業則有41%將缺乏熟練的員工列為首要原因。
技術是幫助組織提高網絡彈性的另一個差異化因素,尤其是在幫助他們解決複雜性的工具方面。對於具有較高網絡彈性水平的組織,提高其網絡彈性水平的最重要的兩個因素是:對應用程序和數據的可見性(57%的選擇),以及自動化工具(55%的選擇)。數據表明,安全成熟度越高的企業,越依賴技術創新來提高網絡彈性。