近期,Palo Alto Networks(派拓网络)对数百位安全专业人士进行了一项关于安全自动化现状的调查。结果显示,安全运营群体在应对事件响应方面存在着很事件响应团队规模较小、多数威胁管理仍旧手动进行、网络钓鱼、恶意软件等威胁攻击事件频发等种种问题与挑战,因此也承受着巨大的压力。本次调查就是让各方安全运营人员能够对于现在的安全自动现状进行充分了解,以帮助企业能够采用安全创新手段向更高级别的安全自动化发展。
调查概览
调查的受访者由一个多元化的群体组成。在分享见解的 266 人中,有 25% 的人担任安全工程师,有 18% 的人担任网络安全运营人员,有 15% 的人担任副总裁/首席信息安全官或首席信息官。受访者群体还代表了不同的企业规模和行业。22% 的企业拥有超过 20,000 名员工。21% 的企业员工人数在 2,500 到 4,999 人之间,19% 的企业员工人数在 5,000 到 9,999 人之间。
调查结果
事件响应主要在内部执行
近一半 (49%) 的受访者表示企业在内部处理事件响应。只有 1% 的企业会将其完全外包。在大多数情况下,公司会选择自己处理安全事件。一个有趣的发现是,对于不同规模的企业,内部处理和外包的事件响应比例一致。按企业规模划分的内部处理与外包事件响应的百分比显示每个企业规模分组的结果都与整体结果几乎相同。
受访者的事件响应形式
按企业规模划分的事件响应形式
事件响应团队的规模比人们想象的要小,超过 50% 的受访者表示他们的团队人数少于 5 人,12% 的团队人数在 11 到 25 人之间,只有 8% 的团队人数超过 25 人。
安全团队中致力于事件响应的人数
即使是大公司也会雇佣小型事件响应团队。在员工人数介于 1,000 到 2,499 之间的企业中,有 35% 的企业配备了 1 到 3 人的团队,这不足为奇。令人震惊的是,在员工人数超过 10,000 的企业中,有15% 的企业配备的团队也是 1 到 3 人。
按企业规模划分的安全团队实践响应人数
事件响应团队必须广泛开展合作
事件响应是一项多团队合作任务。调查显示,事件响应团队在处理安全事件时必须在整个企业内开展广泛协作。在他们不得不与之互动的一些团队里,有一部分缺乏安全性。受访者需要与许多其他群体保持联系并与他们协调活动,这进一步表明小型事件响应团队的压力巨大。
安全团队与其他团队合作解决事件比例
以及具体团队分析
威胁管理工作 50% 是手动进行的
一半的受访者采用手动方式管理威胁情报源。另一半受访者则使用各种各样的威胁情报源管理工具, 对于如此关键的工作流程来说,50% 是一个很高的数字,尤其是考虑到当今一些威胁的严重程度。对于小型团队而言,存在因进行威胁管理而导致安全人员超负荷工作的风险。同时,公司也面临着错误处理安全警报的风险。
管理威胁情报馈送的分析
对于威胁情报馈送的订阅
网络钓鱼、恶意软件和端点是数量最多的事件
当被问及他们的团队必须处理的三种数量最多的事件类型时,74% 的受访者表示是网络钓鱼警报。56% 的受访者选择了恶意软件警报,53% 的受访者选择了端点安全警报。
安全团队必须处理的事件类型分析
事件类型的普遍性并不一定会转化为事件响应团队的过度负担。例如,对于网络钓鱼警报,考虑处理大量可在 30-60 分钟内得到解决的网络钓鱼事件,同时关注少量需要几天才能解决的 VPN 警报或漏洞发现会有多分散注意力。这将是一个在不同事件响应工作流之间不断切换的过程,对于本研究中的小型事件响应团队来说根本不理想。而且,虽然 30-60 分钟的问题解决时间似乎已经很快了,但如果一个团队始终在处理大量此类事件,可能会不堪重负。且这还只是以一种安全事件为例,可以想象体量偏小的安全团队更容易因事件响应而彻底透支。
事件响应自动化正在进行中
自动化的速度似乎滞后于事件加载速度。例如,28% 的受访者已自动化网络安全运营,但 40% 的受访者将其列为数量最多的前 3 大事件类型。74% 的受访者将网络钓鱼警报列为数量最多的前 3 个事件之一,但只有 37% 的受访者已自动化网络钓鱼事件响应流程。
解决安全事件问题所需时间
本研究的受访者有许多安全自动化方面的计划将在不久的未来实施。当被问及他们计划在未来 18 个月内自动化哪些安全运营时,22% 的受访者表示“漏洞响应,例如勒索软件”;19% 的受访者表示“云安全与配置”;18% 的受访者表示“网络策略管理”。16% 的受访者表示,他们将在未来 18 个月内实现网络安全运营、访问调查、网络钓鱼响应和威胁情报自动化。
在当今的 IT 安全模式中,需要使用大量工具/解决方案才能提供全面的防御和深度的覆盖。从所有平台提取并规范化日志/警报/事件很难使它们保持一致并对分析产生实际作用。能够提供通用格式和清洁集成的解决方案提供商将是成功的关键。如果能够一站式集成所有日志,那么就可以开始讨论自动化的推进了。新技术的吸引力在于协助自动标记特定事件/警报,为分析师团队节省时间,以便他们将精力仅放在调查最有可能发生的事件上。
让企业更倾向于部署自动化的功能
事件响应团队的规模往往较小
“不确定从何处入手”是未部署安全自动化的首要原因,50% 的受访者表示这是他们最大的障碍。21% 的受访者认为,缺乏预算和必要的技能是实现自动化的阻碍因素。因此,五分之四的受访者显然不存在缺少实现自动化所需的资金或训练有素的人员的情况。14% 的受访者表示管理层不了解这种需求。29% 的受访者表示他们“使用目前的流程可达到很好的管理效果”。
没有在安全运营中部署自动化的原因
调查结果
企业可能还希望寻找机会获得能够降低自动化复杂程度的解决方案,例如提供预构事件响应剧本的工具。我们具备实现更高水平自动化的可能性,这很可能成为保障业务运营安全的不可协商要求。挑战则在于接受变更并努力使其成为现实。
