近日,FireEye旗下网络安全公司Mandiant发现网络安全公司Accellion遭到黑客攻击,实施攻击的黑客组织还利用多个零日漏洞和Web Shell结合,通过Accellion的文件传输设备(FTA)入侵了上百个Accellion的企业客户,并窃取了敏感文件。


黑客利用网络安全公司设备漏洞入侵上百家企业,自动化才是安全团队的“安眠药”


报道称,该攻击发生在2020年12月中,涉及Clop勒索软件帮派和FIN11威胁组。与这些组织以前的攻击不同,此次攻击未部署Clop文件加密恶意软件,也就没有加密数据。


攻击者直接选择以泄漏数据作为主要勒索威胁。窃取数据后,除非支付勒索赎金,否则攻击者会在Clop泄漏站点上公开被盗数据。


跟踪报道此次黑客攻击事件的BleepingComputer声称,已经发现了十几家受害企业,其中包括:


超级市场巨头Kroger


Singtel


QIMR Berghofer医学研究所


新西兰储备银行


澳大利亚证券和投资委员会(ASIC)


华盛顿州审计师办公室(“SAO”)


美国运输局(ABS)


琼斯律师事务所


财富500强科技公司Danaher


地理数据专业厂商Fugro


科罗拉多大学


根据Accellion的新闻稿,有300家Accellion客户在使用其已有20年历史的旧文件传输设备(FTA)。在这些客户中,接近100名是Clop和FIN11攻击的受害者,而且大约25名似乎遭受了严重的数据盗窃。


黑客利用网络安全公司设备漏洞入侵上百家企业,自动化才是安全团队的“安眠药”


面对将近五成的误报率,安全分析师正处在焦虑和失眠的煎熬中,只有自动化才是“安眠药”。


IDC的最新报告调查了350位内部人士、MSSP安全分析师和管理人员,结果显示,由于广泛的“警报疲劳”导致警报被忽略,以及担心漏报(遗漏安全事件),安全分析师的压力不断增加,而生产力则在下降。


FireEye客户成功副总裁Chris Triolo说:“来自不同解决方案的大量误报警报使安全分析师不知所措,同时越来越担心它们可能会错过真正的威胁。”


“为解决这些挑战,分析人员要求使用先进的自动化工具,例如扩展检测和响应,以帮助减轻对遗漏事件的担忧,同时增强其SOC的网络安全能力。”


高误报率加剧警报疲劳


高达45%的安全警报误报,而35%的响应人员在队列拥挤时选择忽略警报!(下图)


黑客利用网络安全公司设备漏洞入侵上百家企业,自动化才是安全团队的“安眠药”


误报会造成“警报疲劳”:尽管分析师和IT安全经理每天都会收到成千上万的警报,但受访者表示,其中45%的警报都是误报,导致内部分析师的工作效率降低,工作流程流程变慢。为了管理SOC中的警报过载,该组中35%的人表示他们选择忽略警报。


MSSP安全托管服务服务商花费了更多的时间来筛选误报,但忽略的警报更多:MSSP分析师表示,他们收到的警报中有53%是误报。同时,托管服务提供商的分析人员中有44%表示,当队列太满时,他们会忽略警报,这可能会导致涉及多个客户的违规行为。


大多数安全分析人员和管理人员担心会漏报事件(FOMI)


随着分析师在手动管理警报方面面临更多挑战,他们对漏报事件的担忧也越来越多:四分之三的分析师担心漏报事件,四分之一的分析师“非常”担心漏报事件。


但是,FOMI给安全经理造成的痛苦甚至超过了分析师:6%以上的安全经理表示,由于担心遗漏事件而导致失眠。


分析师需要自动化的SOC解决方案来对抗FOMI


目前,只有不到一半的企业安全团队使用工具自动化SOC活动,具体统计结果如下:


人工智能和机器学习技术(43%)


安全流程自动化和响应(SOAR)工具(46%)


安全信息和事件管理(SIEM)软件(45%)


威胁搜寻(45%)以及其他安全功能。


此外,只有五分之二的分析师将人工智能和机器学习技术与其他安全工具一起使用。


为了管理SOC,安全团队需要先进的自动化解决方案来降低警报疲劳并通过专注于更高技能的任务(例如威胁搜寻和网络调查)来提高成功率:在对最容易自动化的安全工作进行排名时,威胁检测获得最高票数(18%分析师的心愿单),其次是威胁情报(13%)和事件分类(9%)。


SOC自动化的重心不应该是SIEM


安全运营中心(SOC)的重心曾经是SIEM。但是现在,随着SOC的任务转变为检测和响应组织,这种情况正在发生变化。


SIEM已经存在了数十年,旨在通过规范多个技术供应商之间的警报来替换手动日志关联以识别可疑的网络活动。SIEM从未设计成可以处理完整的威胁情报管理用例,也不能与诸如端点检测和响应(EDR),网络检测和响应(NDR)以及云检测和响应之类的现代安全工具和技术集成并处理大量数据。


新一代的SOC的检测和响应功能不会孤立在单个工具中,而是会扩展到整个生态系统。所需要的是一个平台,该平台可以与多个不同的内部和外部威胁与事件数据源(包括来自SIEM的数据源)集成,并支持与传感器网格的双向集成。具有这种功能的平台是加速安全操作的关键,并使现代SOC能够完成其任务。

文章来源: 安全牛

免责声明

我来说几句

不吐不快,我来说两句
最新评论

还没有人评论哦,抢沙发吧~