「沒有攻不破的網路,只是時間早晚而已。」全球組織平均有68%已經遭受過入侵,這也是為何越來越多企業不僅要專注於防範攻擊的策略和工具,而且還要加強威脅回應能力,以便能更快找出網路中現有的入侵者,並更有效地回應已經發生的攻擊。
根據Sophos近期發布的一份「端點安全七個令人不安的真相」研究報告,內容指出,IT管理員更常在組織的伺服器和網路上攔截到網路犯罪分子,而非其他位置。報告顯示,IT管理員在組織中發現的最嚴重的網路攻擊,有37%是來自於伺服器,37%來自於網路,端點則有17%,而行動裝置也有10%。
你可能聽過這句話:「沒有攻不破的網路,只是時間早晚而已。」這份調查數據支持了這一論點。在此次調查中,大多數組織回應已經遭受過入侵(全球平均值為68%)。這也是為何越來越多企業不僅要專注於防範攻擊的策略和工具,而且還要加強威脅回應能力,以便能更快找出入侵者,並更有效地回應已經發生的攻擊。
換句話說,單只是在「邊界」阻擋威脅已經不夠,企業還必須注意威脅的停留時間,也就是偵測出攻擊所需的時間。對於那些能夠明確評估攻擊者平均停留時間的團隊來說,他們可以在短短13個小時內就找到攻擊者。如果不了解業界對停留時間的看法,可能會認為企業資產落入攻擊者手上13個小時簡直是永恆。但若與其他業界基準相比,13個小時其實已經非常短,例如在Verizon資料外洩調查報告(DBIR)中,威脅的平均停留時間為數週或數月。
由於Verizon DBIR的受訪者設定以及本調查中評估的威脅類型不完全相同,我們不能也不應該拿這兩者進行比較。相反地,本報告將深入探討為什麼這兩者的結果之間存在差異,以及為什麼擁有專屬安全團隊與沒有團隊的組織在偵測時間上有此不同。
對攻擊者的行為和路徑資訊缺乏可見度,仍然是偵測攻擊和縮短停留時間的主要障礙。根據調查,20%的IT管理人員去年遭受過一或多次無法查明攻擊者是如何進入的網路攻擊,17%的人不知道威脅在被發現之前已在環境中停留多久。為了改善可見度,IT管理員需要端點偵測和回應(EDR)技術,以發現威脅來源,以及攻擊者透過網路橫向移動的數位足跡。
Sophos首席研究科學家Chester Wisniewski認為,如果IT管理員不知道攻擊的來源或如何移動,就無法將風險降至最低和中斷攻擊鏈,以防止威脅進一步入侵。EDR可協助IT管理員識別風險,並為位於安全成熟度模型兩端的組織制定可行的程序。如果IT團隊偏重於偵測,EDR可以更快地尋找、阻擋和修補威脅;如果IT仍是重視安全基礎,EDR則是一個不可或缺的要件,可提供急需的威脅情報。
調查顯示,組織每年平均花費48天(每月4天)調查一或多個潛在的安全事件。也難怪IT管理員會將識別可疑事件(27%)、警示管理(18%)和優先處理可疑事件(13%)列為EDR解決方案所需的三大特色,以減少識別所需的時間並回應安全警示。如果IT管理員能夠深入了解EDR,他們可以更快地調查事件,並使用EDR的威脅情報來協助在其他企業資產中找出相同的感染,發現和阻止攻擊模式,將有助於減少IT管理員花在調查潛在事件上的時間。
<本文作者:張光宏現為Sophos台灣區總經理。>