安全黄金法则：1分钟检测，10分钟调查，60分钟控制.docxVIP

安全黄金法则：1分钟检测，10分钟调查，60分钟控制 导语 对于现在组织机构而言，网络安全攻击无可避免，有效防护的关键是速度和准确度。当面临攻击时候，企业能做就是快速反应，包括： 尽可能快检测事件 彻底调查该事件，发现你需要解决一切问题 在它爆发和造成危害之前控制住它 很多企业组织机构也知道速度的重要性，但是不确定如何将其转化为可衡量的标准。在这里推荐1-10-60规则，即1分钟进行检测，10分钟进行调查，60分钟进行控制和补救。努力遵守这一规则的组织能够更好地防范威胁，并在网络安全事件发生时成功地补救。 那么组织机构距离安全标准到底有多远？这正是本文需要探究问题，包括组织机构理解、检测和处理安全威胁的能力，以及他们检测速度是否足够快？是否知道哪些情况将他们置于危险之中？他们是否能在攻击者完成目标之前处理威胁。 一、1分钟去检测 时间是至关重要的。如果无法做到完全阻止入侵者访问入侵，那么就必须要能够尽快检测到入侵。然而，事实相反，经常出现入侵者在网络上停留几个月而不被发现。 研究表明只有11%的受访者估计他们的组织能够在一分钟内检测到网络入侵者。而对于那些在第一线处理这些入侵的安全专家来说，只有9%的人相信他们组织能够在1分钟内检测到入侵。 平均而言，受访者估计他们的组织需要120小时来检测网络安全入侵或事件。这相当于5天昼夜不停地工作。想象一下，一个恶意的威胁攻击者在将近一周的时间里都没有被发现，可以造成多大的破坏。 对于很多组织机构而言，网络安全团队的主要关注点都不在检测。只有19%的人认为他们的组织要求他们将检测作为主要关注点，38%组织机构将关注点放在阻止访问方面。虽然从开始主动监视和避免攻击很重要，但面对攻击者日益复杂战术、技术和过程(TTPs)，使得避免被攻击已经不可能。 能否实现快速检测有可能是“意愿”问题，但对于大部分组织机构而言都是技能问题。32%组织由于遗留老旧资产对升级和安全构成挑战而放慢了速度。与此同时，网络安全部门的资源匮乏(30%)、影子IT(28%)、技能短缺(27%)也被认为是导致检测速度慢的最普遍原因。 然而，如果能实现一分钟的检测时间，这不仅可以减少入侵者接近、访问目标数据时间，而且还可以让组织在调查事件并最终控制事件方面有一个良好的开端。事实上，大多数人(86%)认为，能够在一分钟内探测到网络上的入侵者，将彻底改变游戏规则。 二、10分钟去调查 在完成检测之后，下一步是调查，以找出更多关于攻击情况、攻击者。毕竟，如果能够知道他们是谁，知道他们想要什么，就更容易阻止他们。近四成的受访者认为，当他们的组织受到攻击时，了解攻击者的经验、专业技能水平、动机是至关重要的。三分之二的受访者认为，更多地了解攻击者有助于更好地保护攻击者所针对的数据和文件。 然而，研究表明，在检测到威胁后，平均需要5个小时才能对其进行鉴别分类，6个小时后才能真正对其进行调查。即便在如此长时间下，也只有53%的组织机构发现了威胁攻击者的身份。 虽然，很多组织机构在调查之前，已经在检测上浪费了大量的时间。但是，必须对攻击者的行为和动机进行调查，以尽可能多地发现关于攻击者的信息，从而避免未来的目标和攻击。 尽管绝大多数(88%)的受访者认为“调查”将彻底改变他们的组织处理网络攻击的方式，但只有9%的人报告说他们有这种能力。大多数(88%)的受访者意识到，他们需要做更多的工作来理解网络攻击及其作恶者。 总体来说，调查了解攻击细节是非常重要的，包括谁在攻击，攻击期间发生了什么，攻击的范围，以及攻击者的动机是什么。这些信息可以帮助形成一个必要的和有效的响应步骤。 三、60分钟去控制 在大多数情况下，检测和调查都需要很长时间，组织需要多少时间来控制威胁？到那个时候，是不是太晚了？最重要的是，他们能有效地控制它吗? 三分之二(68%)的受访者承认，他们的组织需要很长时间才能在网络上控制入侵者。平均而言，遏制行动需要受访者组织31小时。 如果检测、分类和调查的平均时间考虑进去，就有另一个严肃的问题要问：一个熟练而有经验的攻击者在162小时不受阻碍地访问你的网络时能造成多大的破坏? 总体而言，只有5%的受访者相信他们的组织能够在一分钟内检测到网络安全事件，在10分钟内进行调查，并在60分钟内将其控制住。 80%的人都经历过这样的事件，一旦黑客侵入网络，安全人员就无法阻止入侵者完成目的。接近一半的受访者(44%)认为，检测时间过长是无法控制的根本原因。近四成的人认为，缺乏资源(39%)或技能(36%)来检测、调查和减轻这些攻击是罪魁祸首。 在检测和调查攻击之后，如果发现攻击者，那么采取对应的手段是不可缺少，包括加强组织网络安全培训、增加预算、采用更加主动安全策略（威胁狩猎）等去控制和缓解攻击情况。 四、如何实现1-10-60法则 对于网络安全事