优化安全防护的新时代

关键要点

• 当前，首席信息安全官（CISO）面临着优化安全架构和利用自动化的双重挑战，以减轻人才短缺的压力。
• 除了传统的检测和响应指标（MTTD 和 MTTR），CISO 还需关注未被发现的攻击风险。
• 很多组织对自认为的安全覆盖与实际防护之间的差距并不知情。
• 采用 MITRE ATT&CK 框架来衡量和验证检测态势，以改善安全操作。

在当今经济形势下，首席信息安全官（CISO）愈发专注于优化和合理化其安全技术堆栈，同时利用自动化手段减少对稀缺人才的招聘需求。然而，许多 CISO也在思考：我们该追踪哪些新指标？这些指标既能向领导层证明安全预算的必要性，又能够推动安全操作的持续改进。

安全领导者通常关注的指标包括平均检测时间（MTTD）和平均响应时间（MTTR）。当然，这些指标依然重要。快速识别和应对攻击——在其对业务产生实质性影响之前——是安全团队的一项关键任务。然而，MTTD和 MTTR指标缺乏有关哪些攻击在最初未被发现的关键信息，这可能是由于检测覆盖的重大缺口，或是警报在大量嘈杂的警报中被淹没，未被安全运营中心（SOC）团队追踪。

感知与实际覆盖的巨大差距

许多组织并不知道其假定的理论安全与实际实施的防护之间的差距。根据来自多种生产安全信息和事件管理（SIEM）系统的匿名和汇总数据，包括
Splunk、Microsoft Sentinel 和 IBM QRadar，我方分析发现：

发现 | 具体数据
—|—
平均情况下，企业 SIEM 实现的检测数量不足前 14 种 技术中的五种。 |
15%的 SIEM 检测规则已损坏且不会触发，主要是因为字段未正确提取或日志源未发送所需数据。 |
仅有 25% 的组织将身份日志（如 Active Directory 和 Okta）转发至 SIEM，并实际在检测规则中使用它们，导致可能遗漏如特权升级和凭证访问等顶级 ATT&CK 策略。 |
75% 由 SIEM 供应商提供的通用现成检测内容被禁用，因为检测工程团队面临噪声和定制化的挑战。 |

根据 IDC 的数据显示，20-30% 的所有警报被忽略或未及时调查，主要是由于经典的“警报疲劳”，这是由过多的嘈杂警报导致的。

衡量和验证检测态势以了解公司的威胁暴露

检测态势指标应允许安全团队以程序化方式自信地回答有关风险的重要问题，例如“我们有多暴露？”。这些指标应基于诸如 MITRE ATT&CK等标准框架，这现在已成为威胁知识安全操作的通用术语。

CISO 应该向团队提出以下问题：

• 我们是否缺少针对与我们业务相关的 ATT&CK 技术、对手和关键资产的检测？
• 我们的检测是否因基础设施的持续变化而变得嘈杂、损坏或配置错误，从而造成攻击者可以利用的额外漏洞？
• 我们是否缺少重要安全监控层（如云或身份和访问管理系统）的遥测？
• 我们能否通过消除黑棋和冗余安全工具来降低成本（和复杂性）？
• 我们选择不检测哪些威胁，基于实用性、成本和/或风险评估（团队应将这些信息作为正式或非正式风险接受流程的一部分呈现给业务）？
• 我们现在有多个 SIEM（如 Splunk 或 IBM QRadar，加上 Microsoft Sentinel 或 Chronicle SIEM）来优化成本并监视混合和多云环境——我们如何获得公司检测覆盖的总体视图？
• 我们是否在基于威胁信息的视角主动开发新检测，还是仅仅根据内部团队的最新请求采取被动的、临时的方式？