企业SIEM报告揭示重大安全挑战

重点概述

CardinalOps发布的年度报告指出，企业安全信息和事件管理（SIEM）在检测对手使用的主要MITRE ATT&CK技术方面存在显著缺陷。
该报告显示，SIEM仅能检测出前14种攻击技术中的不足5种，并且缺失检测的比例高达80%。此外，仅25%的组织会利用基础身份日志进行检测，强调了零信任架构下身份监控的重要性。

CardinalOps最近发布了其，报告指出，企业的安全信息与事件管理（SIEM）系统在实际应用中，能够检测到的MITREATT&CK攻击技术不足5种，特别是对于前14种技术而言。

报告还提到，SIEM系统缺失超过80%的ATT&CK技术检测，且15%的SIEM规则存在问题，无法触发，这主要是由于某些字段提取不正确或日志来源未发送所需数据所致。

另一个紧迫的问题是，尽管25%的组织会将如ActiveDirectory和Okta等身份日志转发至其SIEM，但实际上使用这些日志进行检测规则的组织却寥寥无几。这是一个值得关注的问题，因为身份监控已成为加强零信任安全架构的重要数据来源。

尽管企业在安全运营中心（SOC）投入了大量时间和金钱，安全监测仍然存在被攻击的风险，CardinalOps的联合创始人兼首席技术官YairManor指出。Manor表示，SIEM的配置复杂，新日志源不断增加，检测工程师发现自己难以跟上最新的漏洞和MITRE ATT&CK技术。

“正如SOC的其他领域，例如事件响应，利用分析和自动化是提高SOC效率的一种方式，可以更好地使用现有的安全技术堆栈，” Manor说。

Coalfire的副总裁Andrew Barratt表示，他们的团队常常被召入调查数据泄露事件。他提到，SIEM中的数据缺失已成为一个显著问题。

“许多大型组织仍然没有进行足够的基础日志记录——更不用说在MITRE
ATT&CK框架下对其数据源进行建模，除非他们使用的是能够主动做到这一点的终端工具，”Barratt说道。“我们越能将ATT&CK框架的上下文归属到我们的数据源中，我们SOC工作人员的工作就会越有意义。唯一的问题是，恶意攻击者只需创建一种新的攻击模式，而我们未对其进行监控。这个时候，AI对数据集的分析便显得尤为重要。”

关键数据 | 数量
—|—
检测到的MITRE ATT&CK技术数量 | <5
丢失检测比例 | 80%
无法触发的SIEM规则比例 | 15%
使用身份日志进行检测的组织比例 | 25%

通过使用更先进的技术和方法，企业可以更好地应对不断演变的网络威胁，以最大化现有安全技术的效能。