从必然中学习

网络安全领域的人才短缺问题持续存在。就在去年，研究显示网络安全市场每100个职位空缺仅有85名工作者对应——15%的职位无人填补。没有足够的专业人员来满足组织的基本需求，这给企业带来了更大风险，也为网络犯罪分子创造了更多机会。

虽然这个问题正渗透到网络安全的各个领域，但在事件响应领域尤其突出，其影响不那么明显，解决方案在某种程度上也难以捉摸。事件响应需要广泛的培训、创造力和工作经验，但网络安全团队被威胁和漏洞淹没，大多数团队都没有优先考虑投入时间或资源来培养优秀的事件响应人员。这是个问题。

因此，企业在正确处理安全事件方面变得越来越差，这个问题被忽视的时间太长了。组织需要这类专业人员来保护其运营、数据和客户，但没有适当的培训和工具，他们就没有能力建立强大的事件响应团队。

事件响应对于威胁预防至关重要

尽管根据定义，事件响应是关于应对攻击的计划，但它实际上是组织防御潜在威胁的关键方式，必须优先考虑。2023年，Mandiant报告称，他们调查的违规事件中有15%来自初始访问向量是先前入侵的攻击。如果有合适的团队和流程，进行全面的安全事件响应，充分确定攻击者范围并将其从环境中清除，这些攻击本可以避免。

事件响应是从事件中学习并预防下一次事件的关键步骤。如果团队内部没有这种理解，他们如何满足这一需求？如果一个组织无法调查违规事件、评估和分析，然后根据关键学习成果创建可操作的步骤，那么当这些事件不可避免地再次发生时，他们很可能无法预防。那么，事件响应的前进道路是什么？

短期解决方案不是真正的解决方案

目前，太多组织采用"核平重装"的方法来处理事件响应，选择仅仅重新映像计算机，因为他们没有人员从事件中恰当地提取智慧。短期内，这更快、更便宜，但对防范未来威胁产生了不利影响。当你拒绝从过去的错误中学习时，你更容易重蹈覆辙。

相反，组织可能会转向外包。托管安全服务和事件响应领域的专家已经意识到咨询能让他们对问题有更广泛的影响范围——但这些都不是长期解决方案。

这种短视的事件响应创造了虚假的安全感。组织暂时解决了问题，但未来呢？数据泄露将会发生，依赖被动解决问题创建了一个脆弱的事件响应计划，使组织容易受到威胁。

组织需要长期的解决方案来加强其安全计划。最好的方法是通过现代化工具和将事件响应重构为公司的核心功能，帮助它们从痛苦中提取智慧。为组织及其网络安全专家提供适当的培训和解决方案，是引入更好事件响应计划的唯一可靠方法。

培训和工具创造更好的事件响应

建立强大事件响应计划的部分困难在于没有一刀切的解决方案，意味着组织在加强其团队时没有完美的指南可供参考。NIST网络安全框架承认这一现实：不同的组织必然有不同的风险、目标和风险承受能力。相反，事件响应需要采取基于组织需求的培训导向方法，并为其人员配备正确的技能和解决方案。

知识共享是实现这一目标的最佳方式。分享先前攻击的关键学习成果是这些团队成长和预防未来灾难的方式。问题是，虽然许多工程师同意他们在某些东西"崩溃"时学得最多，而且安全事件对安全团队来说是知识宝库，但这些对话通常仅限于需要知道的渠道。对安全事件的开放性讨论是真正教会团队如何处理这些事件的唯一方式。

这些团队还需要正确的工具来完成工作。组织可以使用各种工具；例如，端点检测和响应工具可以监控和收集活动数据以识别威胁并实现快速响应。安全信息和事件管理可以提供安全警报的全面时间分析，而网络流量分析可以发现指向威胁的异常情况。同样，用户和实体行为分析可以发现内部威胁。

像这样的解决方案通过使响应更快、更轻松，在发生攻击时为事件响应团队提供了喘息空间。它们减轻了一些压力，减少了在事件响应外包或重新映像设备上花钱的需要。最重要的是，它们允许学习和更好地理解，有助于未来的预防。

事件响应是更好网络安全的未来之路

随着组织忽视优先考虑事件响应以防范日益增长的威胁环境，他们为网络攻击者利用其防御中的相同弱点敞开了机会。每次违规都应该是一个学习机会，以便团队能够提取信息，加强安全计划以应对未来威胁。

关于作者 Stephanie Aceves是Tanium的产品管理高级总监。她是网络安全主题专家，在Tanium职业生涯的一部分是帮助建立Tanium在拉丁美洲的业务。在加入Tanium之前，她是安永的道德黑客，受雇入侵各种行业的公司。她的专长是入侵内部企业网络。她获得了取证检查和渗透测试的GIAC认证。Stephanie可以通过LinkedIn和我们公司网站https://tanium.com/联系。