年度调查：安全工具越多安全响应越慢

IBM的最新全球调查发现，企业配备更多安全工具反而导致无效的安全响应，且大多数组织没有针对常见和新兴攻击的具体计划和预案。

IBM的《年度企业网络弹性报告》今年已经是第五版，该调查主要是考察企业在准备和应对网络攻击方面的有效性。调查发现，尽管企业在过去五年中已逐渐提高了对网络攻击进行计划、检测和响应的能力，但在同一时期内，遏制攻击的能力却下降了13%。根据IBM全球调查，使用太多的安全工具以及缺乏针对常见攻击类型的特定操作手册，阻碍了企业的安全响应工作。

尽管安全响应计划的改进速度正在缓慢提高，但是绝大多数组织(74%)仍报告其计划是临时的、应用不一致或者根本没有计划。这种缺乏计划的情况可能会极大地影响安全事件的成本，因为拥有事件响应团队并广泛测试其事件响应计划的公司在数据泄露方面的平均支出要比同时拥有这两个节省成本因素的公司少120万美元。

IBM 年度网络弹性报告的主要发现包括：

• 缓慢改进的安全响应计划：在过去5年中，越来越多的组织采用了正式的企业范围的安全响应计划;从2015年的18%的受访者增长到今年的26%(改善了44%)。
• 缺乏针对性预案：即使在制定了正式安全响应计划的预案中，也只有三分之一(占受访者总数的17%)针对常见的攻击类型开发了特定的预案，而针对勒索软件等新兴攻击方法的计划则远远落后于此。
• 复杂性阻碍了响应：组织使用的安全工具数量对威胁生命周期的多个类别都具有负面影响。与使用较少工具的组织相比，使用50多种安全工具的组织的检测能力降低了8%，而对攻击做出响应的能力降低了7%。
• 更好的计划，更少的损失：在整个企业中应用了正式安全响应计划的公司，由于网络攻击而遭受重大破坏的可能性要小得多;在过去的两年中，这些公司中只有39%经历了破坏性的安全事件，相比之下，那些计划准备不足或者一致性较低的公司遭受破坏性安全事件的比例高达62%。

IBM X-Force威胁情报部门副总裁Wendi Whitmore表示：“尽管越来越多的组织认真对待事件响应计划，但为网络攻击做准备并不是一件容易的事。组织还必须定期关注测试，实践和重新评估其响应计划。利用可互操作的技术和自动化还可以帮助克服复杂性挑战，并加快解决事件所需的时间。”

更新预案以应对新兴威胁

调查发现，即使在拥有正式网络安全事件响应计划(CSIRP)的组织中，也只有33%的组织有针对特定类型攻击的手册。由于不同类型的攻击需要独特的响应技术，因此拥有预定义的操作手册可为组织提供针对他们可能面临的最常见攻击的一致且可重复的行动计划。

在制定了针对特定攻击的预案的少数组织中，最常见的预案是针对DDoS攻击(64%)和恶意软件(57%)的。尽管这些方法历来是企业的头等大事，但诸如勒索软件之类的其他攻击方法正在不断增加。尽管近年来勒索软件攻击激增了近70%，但只有45%的人制定了勒索软件攻击计划。

此外，超过一半(52%)的制定了安全响应计划的受访者表示，他们从未审查过或没有规定的期限来审查/测试这些计划。面对新冠疫情中越来越多的远程劳动力使业务运营发生快速变化，并且不断引入新的攻击技术，该数据表明许多企业的业务都依赖于过时的响应计划，这些计划无法反映当前的威胁和业务前景。

更多安全工具导致响应能力更差

该报告还发现，复杂性对事件响应能力产生了负面影响。接受调查的人员估计，他们的组织平均使用45种以上的安全工具，并且他们响应的每个事件平均需要对大约19种工具进行协调。该研究还发现，过多的工具实际上可能会阻碍组织处理攻击的能力。在调查中，使用50多种工具的人员将其发现攻击的能力降低了8%，而对攻击做出的响应则降低了7%。

这些发现表明，采用更多安全工具并不一定会提高安全响应的效率，实际上，这样做可能适得其反。使用开放的，可互操作的平台以及自动化技术可以帮助降低跨工具进行响应的复杂性。在报告中的高绩效组织中，有63%的人表示可互操作安全工具的使用帮助他们提高了对网络攻击的反应。

更好的安全计划能带来回报

今年的报告提供了明确的证据，表明对正式安全计划进行投资的组织在应对事件方面更为成功。在整个企业中始终采用CSIRP的公司中，只有39%的事件在过去两年中对组织造成了重大破坏，而没有正式计划的公司中有62%。

报告还发现，在企业应对攻击能力的调查中，安全人员技能是最重要的因素。61%的受访者将企业安全弹性归功于雇用了熟练的员工;而那些表示缺乏安全弹性的企业则有41%将缺乏熟练的员工列为首要原因。