为什么当前的网络安全事件响应工作失败了？

关键业务应用程序，例如 SAP 和 Oracle 提供的企业资源规划 (ERP) 系统，被认为是企业业务经营以及管理的重要工具。这些应用程序里包含企业最有价值的资产数据，从机密的财务信息到私人客户和合作伙伴的详细信息。获得这些应用程序访问权限的攻击者可以通过劫持组织的工资系统、关闭其制造设施或盗取敏感数据来造成大规模破坏。

尽管这些应用程序具有很高的价值，但它们仍因发现关键漏洞而不断面临风险。与此同时，安全团队长期面临着有限的带宽和资源的挑战。

本文将探讨当前网络安全事件响应工作失败的原因，以及主动的、基于风险的方法如何使企业能够最有效地减少资产暴露，并最大限度地利用其有限的资源获得回报。

许多企业在多层技术上投入巨资，以确保其关键业务运营的安全。为了控制每一个可能的攻击向量，他们在端点安全、网络入侵防御、身份认证及管控、应用程序交付服务等方面都部署了安全设备。虽然这些功能至关重要，但却很少有预算或时间分配给包含了最重要资产的关键应用程序本身。许多安全厂商及相关机构的调研报告都强调了网络犯罪分子如何直接进入关键业务应用程序，并且在数月甚至数年内潜伏不被发现，同时悄悄地窃取敏感数据。

收益递减规律在网络安全中非常普遍：任何资产或任何攻击媒介的第一层防御都可以最大程度地降低风险。既然关键应用程序被直接针对，它们也必须受到更直接的保护。

企业通常会根据攻击类型（例如勒索软件或 0day 漏洞利用）来制定安全事件响应的机制。但是，更深入地了解一个组织的关键业务应用程序环境，并创建一个专注于最重要的资产、系统和流程的安全策略，可以更有效地降低整体的风险。

基于风险的事件响应方法使企业能够根据漏洞和事件对组织构成的风险级别确定它们的优先级。确定风险的最简单方法是计算威胁发生频率和严重程度。恶意软件经常到达端点，响应和清理可能会花费数千美元（包括直接成本和生产力的损失）。此外，面向互联网的系统上的漏洞必须优先考虑并修复。这些系统完全暴露，被攻击的几率不断升高，风险也随之增加。

与发生率最高的面向互联网的系统一样，关键业务应用程序收影响的严重程度也最高。基于风险的方法还可以帮助 IT 团队合理分配他们的工作和预算，并以每美元或每小时为基础上最大限度地降低风险。

在以往的实践上，防火墙和漏洞扫描程序等传统工具可能会覆盖关键业务应用程序中的系统级问题，但它们并不支持应用程序本身。可能会检测到底层操作系统漏洞，但不会检测到 SAP 自定义代码问题或 电子商务套件 (EBS) 应用程序层缺陷。

借助现代漏洞管理工具，安全团队可以全面了解 IT 环境中的所有资产，包括本地托管、云托管或两者兼有的资产。这使他们能够对系统内的所有资产进行清点，识别任何隐藏的或先前已知的漏洞，并记录所有这些漏洞。

这些工具还可以为安全团队提供对每种威胁、其业务影响及其相关风险的自动评估，并随后为每个威胁共享详尽的描述和解决方案。捕获企业威胁环境的完整视图的漏洞管理功能可以帮助安全团队了解他们的攻击面，并节省大量时间、金钱和资源，否则这些资源本来被花费在了优先级较低的项目上。

这听起来很理想，并且直接推动了基于风险的事件响应流程的目标。安全419了解到，国内专注于攻击面管理的安全厂商华云安建立的灵洞·网络资产攻击面管理系统（Ai·Vul），将攻防视角信息通过安全分析引擎、数据分析引擎进行统一整合，以主动扫描、被动监测、情报预警和自动化评估等多种手段来及时发现内外部数字资产攻击面，并进行分析评估和响应处置。

他们将传统漏洞扩展为弱点，包括配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞等，通过漏洞管理的方式缩小攻击面，打通弱点与资产、情报、响应间的关系，分析弱点可能产生的风险情况，识别弱点优先级，自动化进行标记和生命周期跟踪。

如今，威胁团伙拥有直接针对企业的关键任务应用程序并进行高度复杂攻击的知识和能力。只有那些做足准备充分的企业才能保护他们的核心资产并防止对这些系统攻击的长期影响。

安全团队和事件响应组的成员需要做好准备，将 IT 环境中其他地方存在的相同标准和相同的安全运营成熟度引入业务关键应用程序本身。先于攻击者了解数字化攻击手段和攻击路径，并采取针对性措施进行高效敏捷响应，帮助企业降低被攻击的可能性，保障数字业务安全。