合規與風險
檢視 SANS 的 2024 年威脅追蹤問卷調查
今年已邁入第 9 年的 SANS 威脅追蹤問卷調查 (Threat Hunting Survey) 專門深入研究全球企業在威脅追蹤方面的實務作法,了解過去一年當中企業在該領域所面臨的挑戰以及如何因應。
根據 2024 年的調查發現,威脅追蹤方法越來越成熟,企業導入正式流程的情況也大幅增加。
這意味著,儘管面臨人才短缺與工具限制等挑戰,企業網路資安策略正朝著日益標準化的方向邁進。不僅如此,該調查也披露企業獲取情報的方式正在改變,而將威脅追蹤外包的情況也有所增加,這引起了有關效率以及能否配合企業目標的質疑。這份摘要濃縮了該報告發現的現象與趨勢,並強調威脅追蹤在現代化網路資安框架中的關鍵角色。
受訪者
今年的調查吸引了來自各式各樣產業的受訪者參加,其中網路資安領域的受訪者最多,占 15%,另有 9% 來自製造業,該產業最近正面臨勒索病毒攻擊的嚴重挑戰。此外,這份調查的受訪者也來自各種規模的企業機構,從員工不到 100 人的小型企業 (24%) 到員工 10 萬人以上的大型企業 (9%)。
受訪者在其所屬機構擔任的職務也相當多樣化,突顯出威脅追蹤的跨領域特質。其中有 22% 是資安系統管理員或分析師,另有 11% 擔任業務經理職務,顯示威脅追蹤實務在技術、財務與人力觀點上保持著一定的平衡。
不過,該調查也點出受訪者可能存在地理分布上的偏差,因為有 65% 的受訪者來自美國的企業機構,這一點可能影響該報告在人員招募與企業實務層面的發現,但對於威脅追蹤的技術層面應該是沒有影響。
重要發現與意義
該調查檢視了資安威脅的動態情勢,以及威脅追蹤人員為了發掘及對抗這些風險所部署的策略。尤其,該報告指出了企業最常遭遇的攻擊類型:
- 變臉詐騙 (BEC):變臉詐騙是企業最關心的問題,約 68% 的受訪者表示曾經遇到。在變臉詐騙手法中,歹徒會先駭入企業員工的電子郵件帳號,接著利用社交工程手法誘使內部人員匯款到歹徒的帳戶。
- 勒索病毒:緊接在後的是勒索病毒,約 64% 的受訪者曾經遇到。勒索病毒集團會將企業資料加密,然後勒索一筆贖金來幫忙解密,這是目前網路資安情勢的一大威脅。
- 手法、技巧與程序 (TTP):該調查發現,不同的攻擊情境會運用各種不同的 TTP。在勒索病毒事件中,駭客通常使用客製化惡意程式、瞄準特定的資料並將它外傳、使用 Cobalt Strike 這類現成工具、試圖刪除痕跡,並且有時還會親自潛入目標企業。
不斷演進的威脅追蹤實務
SANS 也發現,企業的威脅追蹤實務已大幅演進,並且會視需求每月、每季或每年做一些方法上的調整。
此外,有 37% 的企業目前正將威脅追蹤外包,並有超過半數的企業採取明確定義的威脅追蹤方法,代表有顯著的進步。
此外,有 64% 的企業會正式評估其威脅追蹤作業的成效,而且缺乏正式方法的企業也從 7% 下降至 2%。方法的挑選越來越受可用人力資源的影響,有 47% 的企業認同這點。
資安長 (CISO) 在威脅追蹤方法的發展上扮演關鍵角色,他們高度參與了 40% 的個案。
威脅追蹤工作改善的效益
威脅追蹤可帶來的重大效益包括:改善攻擊面與端點的安全性、偵測更準確也更少誤判,以及減少矯正資源。
大約 30% 的企業會使用廠商的資訊來補強其威脅情報,僅有 14% 只依賴廠商的資訊。事件回應團隊共同參與開發威脅追蹤方法的情況,在 2024 年提高至 33%,顯示不同資安部門之間的整合度有所改善。
資料品質與標準化等等的挑戰越來越大,突顯出管理日益擴大的網路資安資料所牽涉的複雜性。
最後感想
SANS 2024 年威脅追蹤問卷調查點出了網路資安產業的演進,以及對改善資安防禦能力的專注。企業的目標在於借助更好的情境資訊與資料工具來改善威脅追蹤能力,有 51% 的受訪者希望能更妥善地回應一些細膩的威脅。
有將近半數 (47%) 的受訪者計畫建置 AI 和 ML 來應付日益攀升的威脅數量與複雜性,此外也計畫在人員和工具上投入大量資金,有些企業打算在未來 24 個月內增加 10% 甚至 25% 以上的投資,突顯出威脅追蹤的策略重要性。
不過,也有一小部分的受訪者預料他們將會減少投資,這意味著資安策略可能有所轉變。