CISOs面临的安全挑战与应对策略

关键要点

• 企业网络的攻击面和风险日益复杂，CISOs及安全运营团队需寻找有效的解决方案。
• 传统SIEM工具难以满足现代安全需求，导致安全漏洞。
• 自动化与AI技术可帮助提高检测精度和降低风险。
• 需要持续监控和优化安全策略。

在当今企业中，CISOs和安全运营团队面临着越来越复杂的安全挑战。不断扩大的攻击面、数据来源、攻击向量和关联规则让安全问题显得如同戈尔迪乌斯之结一般复杂。企业不断增加、弃用和升级不同的日志源，同时还需要为最新的威胁和漏洞添加新的检测目标和排除项。加上新集成的IT应用或安全工具带来的大量新数据和日志源，安全警报和潜在漏洞也日益增多。

CISOs为什么难以解开这张网络

理论上，CISO可以依赖安全运营中心(SOC)作为组织安全的中枢神经系统，以此获取一些心安，或者至少能得到问题报告。但大多数安全运营团队的SIEM——无论是Splunk、Microsoft
Sentinel还是IBM
QRadar——都随着时间的推移添加了数百条检测规则，导致每天触发的警报数量成倍增加。SOC每天可能收到成千上万次警报，团队难以确定哪些检测规则正常工作，或多少条规则已经失效。缺乏这种关键的可见性，CISOs就无法识别出漏洞所在，而SOC也无法向CISO提供准确的报告。

SOC团队面临的数据摄取挑战，同时又不能犯错。攻击者只需要一个薄弱环节。随着攻击者不断演化他们的攻击向量，传统的静态SIEM流程显然无法有效应对这些日益严峻的挑战。手动的临时流程容易出错，难以有效扩展并保持高质量的检测能力。

我们的内部研究显示，15%的SIEM警报规则是失效的，永远不会触发，这往往是因为数据源配置错误或缺失字段。这种情况造成了一种虚假的安全感，让安全团队和CISOs以为自己得到了保护，直到红队（或更糟糕的，真正的敌人）发现了防御中的隐患并加以利用。

理清复杂性

作为领导，CISOs需要在不断变化的威胁环境中处于领先地位，必须为其团队和组织做好准备。然而，需注意的是，并不存在“通用解决方案”——环境不断变化，每家企业都是独特的，照搬通用内容实属不切实际。那么，CISOs该如何为团队驱动成功并保护企业？

MITREATT&CK框架已成为衡量攻击准备性的标准，但SOC团队常常发现很难进行有效测量。安全专家表示，他们很难直观地理解该框架，并且更难以向其他C级高管传达，缺少一种简单的方法来将当前的威胁检测覆盖映射到MITREATT&CK标准，容易导致盲点的存在。

实际上，实际的检测覆盖率远低于大多数组织的预期以及SOC应该提供的覆盖率。根据我们的研究，企业SIEM规则仅覆盖了敌方在现实中使用的14种MITREATT&CK技术中的五种，而企业对于80%的MITRE ATT&CK技术缺乏相应的检测。

引领测量与可见性

显然，组织，特别是CISOs，需要更有意识地关注其SOC的检测准确性和覆盖率。他们需要考虑SIEM规则正在检测什么，以及是否有针对与自身组织最相关的敌方技术的用例。它们实际上有效吗？是否有助于SOC分析师有效地进行事件筛查和响应？

CISOs应该建立流程，持续识别、优先补救安全监控和威胁覆盖中的漏洞，以便在MITREATT&CK框架中检测异常活动。用例是安全监控活动的核心——一个结构化的过程，可帮助组织识别、优先处理、实施和维护用例，从而使监控工作与安全战略保持一致，选择最佳解决方案并最大限度地发挥安全监控工具的价值。

根据技术和基础设施的优先用途，尤其是使组织的“皇冠宝石”——最有价值的数据或资产——能够