在网络安全领域,黑白两色是确定的,明确的和可识别的:它们是恶意的或良性的。 几十年来,安全领域既包括已知的好消息,也包括已知的坏消息-对于安全团队来说,监视和理解它们变得更加容易。 但是威胁的面貌正在继续扩大和发展,现在黑白相伴的是大量模糊不清的灰色。 未知威胁每天都会从端点检测和响应(EDR)工具触发灰色警报。 但是,这些具有更深层次外观的灰色警报又是什么呢? 灰色警报问题
当网络安全检测工具遇到文件或具有未公开行为或特征的事件时,它会由网络安全检测工具创建灰色警报。 例如,检测工具可以针对检测到的某个应用程序发出灰色警报,以注册潜在的有害行为。 可能是因为组织的一个团队发现它有用,并且愿意利用该应用程序的影响(例如令人讨厌的弹出窗口或广告),所以安全团队可能会选择不查看该应用程序。 但是,此应用程序显示的广告可能感染了恶意软件,可能感染端点。 这就是组织的安全团队应该分析灰色警报以查明其真实性质并确定采取哪些步骤的原因。
在当今的威胁环境中,有很多复杂的威胁,而传统的安全解决方案很难检测到。 尽管如此,此类威胁的某些方面(例如捆绑或信息收集)仍可能导致灰色警报在EDR工具上浮出水面。 延迟查看或完全忽略灰色警报可能会导致高级威胁无法检测到进入系统。 这些未检测到的威胁可以充当其他潜伏威胁(例如勒索软件)的滴管程序或装载程序,以渗透到系统中。 勒索软件是一种破坏性威胁,如果它设法潜入系统中,不仅会对各种规模的企业造成破坏,而且还会对政府部门甚至最近的广播实体(如天气频道)造成严重破坏。 未检测到的威胁和未分析的灰色警报可能使组织容易受到安全风险的影响,这可能会导致财务损失,运营中断和声誉受损。 这就是为什么尽管面临预算限制和全球缺乏网络安全人才的问题,但组织如果没有强大的安全工具和专业知识就无法承受。 随着威胁变得更加棘手,采用复杂的检测规避技术,灰色警报的确定过程变得越来越具有挑战性。 这是使用机器学习技术的安全解决方案的优势所在,该解决方案允许在不断发展的规则集上准确识别和阻止全新的或未分类的威胁。 尽管机器学习是用于威胁检测的战略性和有用的网络安全工具,但它最好与其他技术结合使用,以建立强大的多层安全态势。 如果高级安全解决方案(例如使用机器学习的EDR工具)在能够揭开神秘色彩并将灰色警报与其他网络事件联系起来的安全专家的支持下最为有效。 为了全面保护系统,应该对来自网络,服务器和电子邮件等各种攻击媒介的灰色警报进行关联和分析。
但是,当灰色警报大量出现时会发生什么? 这么多的灰色警报,很少的网络安全专业人员 网络威胁不仅变得如此复杂,以至于它们能够绕过传统的视音频系统。 他们也变得越来越丰富。 组织的EDR工具可以每天生成大量的灰色警报,向安全团队警告这些未经证实的恶意攻击。 但是,当灰色警报的数量过多时,网络安全团队可能会发现他们不得不检查的大量灰色警报不堪重负-也就是说,如果组织拥有自己的网络安全团队来检查灰色警报,那就是。
在由趋势科技于2018年委托进行的Opinium调查中做出回应的1,125位首席信息安全官(CISO)中,近50%的人越来越关注网络安全技能差距。各公司发现,很难找到可以加入他们的网络安全专业人员 团队帮助阻止网络威胁。 实际上,参加调查的CISO中有54%表示他们很难聘请熟练的专业人员。
根据ESG的“ 2018年网络安全专业人员的生活和时代”,该研究中有41%的受访者表示,与其雇用更多经验丰富的网络安全专业人员,不如他们的组织必须招募和培训初级人员。 在组织内没有高级网络安全专家可能会被证明是不利的,因为有经验的人可能会更好地利用高级工具,并且知道如何充分利用它们。 ESG的同一项研究指出,有47%的受访者承认技能差距使他们的员工无法充分利用安全解决方案和技术来发挥其全部潜力。
但是,即使组织拥有经验丰富的网络安全人员,也无法幸免于技能缺口。 高达66%的受访者表示,由于技能短缺,他们现有的员工会承受更大的工作量。 因此,即使他们拥有知识渊博的人员,他们每天也会被大量淹没,而他们的工作负担过重,负担繁重,包括确定要优先进行分析的灰色警报。 这会导致警报疲劳,当安全专业人员由于不断涌入的通知而最终终止警报时,就会发生这种情况。 托管检测和响应(MDR)通过提供24/7警报监视以及来自经验丰富的网络安全专业人员的威胁检测和响应功能来帮助组织,这些专业人员能够最大限度地利用安全解决方案来使组织受益。 MDR团队可为组织提供有关如何将多个灰色警报解开并关联到单个非灰色威胁的宝贵见解。MDR服务以较低的成本为组织提供了有效的高级威胁情报专业知识,而其成本却低于内部安全所需要的成本。 团队,从而帮助缓解技能差距问题。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
