我国政府网站正在成为网络攻击的主要目标，去年境内被篡改网站达36969个，较2013年增长53.8%;被植入后门的网站也高达40186个。网络安全隐患对个人用户和企业用户都造成很大的威胁。面对无处不在的网络攻击，如果系统不能自动检测并实时的做出反应，不但会影响网站的正常运营，还将面临数据的丢失和用户机密信息的泄漏。

　　Intel Security 委托 Enterprise Strategy Group (ESG) 完成了一份题为《解决攻击检测与事件响应难题》(Tackling Attack Detection and Incident Response) 的报告，报告深入剖析了企业的安全战略、网络攻击环境、事件响应的挑战和需求。调查显示，安全事件让安全专业人员疲于应对，去年，平均每家企业进行了 78 起安全事件调查，其中 28% 涉及针对性攻击 — 最具破坏性的网络攻击。根据对 700 位专业人士的调查，更好的检测工具、更好的分析工具以及更多有关如何处理事件响应问题的培训是提升信息安全人员工作效率和成效的首要因素。

　　ESG 的高级首席分析师 Jon Oltsik 指出：“对于事件检测和响应而言，时间与潜在损害之间有着反向的关联性。企业识别、调查和响应网络攻击的时间越长，越有可能使其排除代价高昂的敏感数据威胁措施的效果大打折扣。有鉴于此，CISO 应当牢记，采集和处理攻击数据是一种有助于提升威胁检测和响应效率及成效的有效手段。”

　　更好的集成

　　近 80% 的受访者相信，安全工具之间缺乏集成和沟通会导致出现瓶颈，进而影响其检测和响应安全威胁的能力。实时、全面的可视性对于快速应对有针对性的攻击尤为重要，37% 的人希望安全智能感知和 IT 运营工具间能够更紧密地集成。这些受访者表示，由几十种各自为战的安全产品组成的拼接式架构导致了大量孤立的工具、控制台、流程以及报告的存在，实践证明，这是一种极其耗时的使用模式。这些架构还会生成大量的攻击数据，使真正的攻击指标淹没其中。

　　更好的可视性

　　受访的安全专业人员表示，安全监控面临两大困境，一是针对用户、设备和网络活动的可视性有限;二是为了获得必要的可视性而进行的调查以及所采取的措施非常耗时。例如，近一半(47%)的企业声称，确定安全事件的影响或规模特别耗费时间。

　　更好的分析

　　调查还显示，出色的、更加自动化的分析能力正成为一大重要需求，需求不仅仅停留在采集大量安全事件和威胁智能数据，而是要能更有效地分析数据以检测和评估事件。58% 的受访者表示，他们需要更好的检测工具，例如，具备基于云的智能感知功能的静态和动态分析工具以分析文件，了解意图。53% 的受访者坦言，他们需要更好的分析工具以将安全数据转化为行之有效的智能信息。近三分之一(33%)的人希望获得更好的工具来确定正常系统行为的基准，从而使团队能更快地检测差异。

　　更好的专业技术

　　参与调查的人均承认缺乏有关威胁态势的知识以及安全调查技能，这表明，如果事件响应团队不能搞清楚他们所看到的信息，即便通过技术集成或分析功能获得更好的可视性也难以充分应对威胁。例如，只有 45% 的受访者认为自己对恶意软件技术非常了解，40% 的人希望获得更多培训以弥补技能方面的缺陷。

　　自动增强措施

　　调查数据量的庞大以及有技能的资源的欠缺导致了对获得帮助以采取措施的强烈需求。52% 的受访者表示，采取措施以最大限度减轻攻击影响是其最耗时的任务之一。27% 的受访者希望安全智能感知工具能够提供更好的自动分析，以加快对安全威胁的实时了解。15% 的受访者希望实现流程自动化以便解放IT人员来执行更重要的任务。

　　Intel Security 总经理 Chris Young 指出：“正如医疗专业人员必须在黄金时间内将心脏病患者送至医院以尽最大可能挽救其生命一样，安全行业所努力的方向必须是减少企业检测和应对攻击所需的时间，从而对威胁防患于未然。这要求我们找出并解决困扰我们的难题，并使我们始终围绕安全这个核心来思考问题。”

　　本报告建议 CISO 采取四大关键战略以切实减少安全事件响应的时间，提升效率：

　　·打造紧密集成的企业安全技术架构：CISO 必须用集成的安全架构来取代各自为战的单点安全工具。这一战略有助于增强攻击信息共享，并可获得针对用户、终端和网络行为的企业范围的可视性，从而实现更加有效的协调响应。

　　·将网络安全战略与强大的分析相结合，使数据从数量向价值转变：网络安全战略必须以强大的安全分析为基础。这意味着采集、处理和分析大量内部(例如，日志、数据流、数据包、终端取证、静态/动态恶意软件分析、企业智能信息(例如，用户行为、业务行为等))以及外部数据(例如，威胁智能信息、漏洞通知等)。

　　·尽可能实现事件检测与响应自动化：不断变化的攻击技术意味着大多数的企业都无法独善其身。要有效应对安全威胁，CISO 必须致力于实现自动化，例如，高级恶意软件分析、智能算法、机器学习以及借助威胁智能感知来将内部行为与网络敌手所使用的破坏事件 (IoC) 以及战术、技术和程序 (TTP) 进行对比。

　　·不间断地进行网络安全教育：每年应当面向整个企业开展一些网络安全教育，安全团队和人力资源部门要制定相应的持续教育计划以支持这一举措。当管理层通过强调教育的重要性，并且不遗余力地加以倡导从而做出表率时，网络安全教育计划才是最成功的。

　　责任编辑：小燕编辑