亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

盡管企業(yè)已經(jīng)在盡力強(qiáng)化自身安全信息與事件管理（SIEM）態(tài)勢(shì)，但大多數(shù)平臺(tái)實(shí)現(xiàn)依然在覆蓋面上存在巨大空白，比如攻擊者用來(lái)部署勒索軟件、盜竊敏感數(shù)據(jù)和執(zhí)行其他網(wǎng)絡(luò)攻擊的常用技術(shù)就被SIEM漏掉了超過(guò)四分之三。

近日，以色列CardinalOps發(fā)布了《2023年SIEM檢測(cè)風(fēng)險(xiǎn)現(xiàn)狀報(bào)告》，CardinalOps的研究人員分析了Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等公司生產(chǎn)SIEM平臺(tái)的數(shù)據(jù)，發(fā)現(xiàn)這些SIEM平臺(tái)僅能檢測(cè)出所有MITRE ATT&CK技術(shù)中的24%。也就是說(shuō)，能繞過(guò)SIEM檢測(cè)的攻擊者所用技術(shù)大約有150種，僅約50種攻擊技術(shù)會(huì)被檢出。這還是讓SIEM系統(tǒng)使用足夠多數(shù)據(jù)來(lái)覆蓋大約94%的各種攻擊技術(shù)的情況下。

不僅如此，研究人員在報(bào)告中寫道，企業(yè)很大程度上并不了解自身安全態(tài)勢(shì)，“自認(rèn)為擁有的安全與實(shí)際上的安全之間的差距”。這就造成了“對(duì)自身檢測(cè)態(tài)勢(shì)的虛假印象”。

MITRE ATT&CK是基于現(xiàn)實(shí)世界觀察的對(duì)手策略與全球技術(shù)知識(shí)庫(kù)，旨在幫助企業(yè)檢測(cè)和緩解網(wǎng)絡(luò)攻擊。CardinalOps報(bào)告所呈現(xiàn)的數(shù)據(jù)是對(duì)不同垂直行業(yè)SIEM所用4000多條檢測(cè)規(guī)則、數(shù)百種日志源類型近100萬(wàn)日志源進(jìn)行分析的結(jié)果，所涉垂直行業(yè)包括銀行與金融服務(wù)行業(yè)、保險(xiǎn)業(yè)、制造業(yè)、能源行業(yè)和媒體與電信行業(yè)。

01 檢測(cè)不出歸咎于缺乏SIEM微調(diào)

研究人員指出，當(dāng)前SIEM效率低下的主要原因是，盡管企業(yè)有資源可用于通過(guò)知識(shí)庫(kù)、自動(dòng)化和其他流程來(lái)檢測(cè)自身環(huán)境所面臨的潛在攻擊，但他們?nèi)匀缓艽蟪潭壬弦揽咳斯ず推渌叭菀壮鲥e(cuò)”的流程來(lái)進(jìn)行檢測(cè)。這使得減少積壓工作并快速采取行動(dòng)填補(bǔ)檢測(cè)空白變得困難。

企業(yè)網(wǎng)絡(luò)安全服務(wù)提供商Vulcan Cyber高級(jí)技術(shù)工程師Mike Parkin表示，事實(shí)上，SIEM自身并非“魔力無(wú)邊”，要靠企業(yè)正確高效地部署才能發(fā)揮作用。

“跟大多數(shù)工具沒(méi)什么兩樣，SIEM需要微調(diào)才能在所部署環(huán)境中發(fā)揮最佳效果。”Mike Parkin說(shuō)道，“報(bào)告中的分析結(jié)果表明，很多企業(yè)只做了基礎(chǔ)工作，但并未做到所需的微調(diào)，不能使自身檢測(cè)、響應(yīng)和風(fēng)險(xiǎn)管理策略更上一層樓。”

報(bào)告稱，除了需要擴(kuò)展檢測(cè)工作流以便更快地開發(fā)更多檢測(cè)，企業(yè)SIEM部署中阻礙檢測(cè)的一個(gè)關(guān)鍵問(wèn)題是：平均而言，12%的規(guī)則都是無(wú)效的，也就是說(shuō)，即使出現(xiàn)問(wèn)題也永遠(yuǎn)不會(huì)發(fā)出警報(bào)。

“這種情況通常是由于IT基礎(chǔ)設(shè)施不斷變化、供應(yīng)商日志格式更改，以及規(guī)則編寫中的邏輯或意外錯(cuò)誤而造成的。”研究人員在報(bào)告中指出，“對(duì)手可以利用無(wú)效檢測(cè)導(dǎo)致的漏洞來(lái)成功突破企業(yè)防線。”

02 MITRE ATT&CK 緣何重要

研究人員指出，創(chuàng)建于2013年的MITRE ATT&CK如今已經(jīng)是了解對(duì)手策略和行為的標(biāo)準(zhǔn)框架。隨著威脅情報(bào)的發(fā)展，該框架提供的知識(shí)也不斷豐富，目前可以查詢APT28、Lazarus Group、FIN7和Lapsus$等著名威脅團(tuán)伙所用的500多種技術(shù)和子技術(shù)。

CardinalOps研究人員寫道，“MITRE ATT&CK引入的最大創(chuàng)新是，該框架擴(kuò)展了傳統(tǒng)入侵殺傷鏈模型，超越了靜態(tài)入侵指標(biāo)（如攻擊者可以頻繁更改的IP地址），能夠歸類所有已知對(duì)手策略和行為（TTP）”。

研究人員引用環(huán)境、社會(huì)和治理（ESG）研究成果指出，企業(yè)明顯看到了使用MITRE ATT&CK輔助自身安全工作的價(jià)值，89%的企業(yè)目前都在用此知識(shí)庫(kù)來(lái)減小安全運(yùn)營(yíng)用例的風(fēng)險(xiǎn)，比如確定檢測(cè)工作的優(yōu)先級(jí)、將威脅情報(bào)應(yīng)用于警報(bào)分類，以及更好地了解對(duì)手行為（TTP）。

然而，研究人員發(fā)現(xiàn)，使用MITRE ATT&CK框架支持SIEM工作和用好該框架是截然不同的兩碼事。

03 縮小SIEM差距

研究人員和安全專家稱，企業(yè)可以采取一些措施來(lái)縮小SIEM網(wǎng)絡(luò)攻擊檢測(cè)能力與他們目前的使用方式之間的差距。

其中一個(gè)重要的策略就是擴(kuò)展SIEM檢測(cè)工作流程，通過(guò)自動(dòng)化更快地開發(fā)更多檢測(cè)。在這方面，公司已經(jīng)廣泛使用自動(dòng)化在安全運(yùn)營(yíng)中心（SOC）的多個(gè)領(lǐng)域取得了極佳效果，比如異常檢測(cè)和事件響應(yīng)，但在檢測(cè)工作方面效果沒(méi)那么好。

研究人員寫道：“檢測(cè)工作仍然是手動(dòng)的，通常依賴擁有專業(yè)技術(shù)的‘大牛’”。

一名安全專家表示，事實(shí)上，人力和財(cái)務(wù)資源有限的情況下，專注自動(dòng)化對(duì)于達(dá)成安全目標(biāo)而言至關(guān)重要。

Viakoo Labs副總裁John Gallagher說(shuō)道：“這包括將自動(dòng)化檢測(cè)擴(kuò)展到納入物聯(lián)網(wǎng)（IoT）和運(yùn)營(yíng)技術(shù)（OT）攻擊渠道，以及制定自動(dòng)化威脅修復(fù)計(jì)劃。”

Gallagher稱，企業(yè)仍要繼續(xù)面對(duì)的一個(gè)重要挑戰(zhàn)是，當(dāng)前的攻擊面包含大量易受攻擊的聯(lián)網(wǎng)設(shè)備和典型企業(yè)網(wǎng)絡(luò)，早已膨脹得超出了IT部門目前的支持或管理能力。

“想要防御和維護(hù)這些資產(chǎn)的完整性，就需要IT部門與公司其他部門緊密合作，確保這些資產(chǎn)可見、可用、安全。”

Vulcan Cyber的Parkin表示，實(shí)際上，除非企業(yè)能看清自身威脅面、管理風(fēng)險(xiǎn)，并按重要程度確定事件優(yōu)先級(jí)，否則問(wèn)題仍將出現(xiàn)。“我們有工具可以做到這些，但要有效部署和配置這些工具可不容易。”

CardinalOps《2023年SIEM檢測(cè)風(fēng)險(xiǎn)現(xiàn)狀報(bào)告》

https://cardinalops.com/whitepapers/2023-report-on-state-of-siem-detection-risk/

* 本文為nana編譯，原文地址：https://www.darkreading.com/analytics/enterprise-siem-blind-mitre-attack-coverage

來(lái)源：本文來(lái)自數(shù)世咨詢