安全团队每天面对成千上万条告警,早已练就一套“选择性无视”的本领——把低级别警报统统归为噪音。但最新的企业级大规模分析却发现,大约1%的真实入侵,最初的告警等级就是“低风险”。
按每年45万条告警的普通企业来算,这个1%意味着平均每周就会有一个真实的威胁从眼皮底下溜走。比例听起来不大,可这恰是攻击者最想看到的结果:你的团队每天自信满满删掉的“无害”提示里,藏着他们潜伏的入场券。
这件事的荒诞之处在于,按严重程度对告警排序,原本是为了从海量噪音中活命。没人会放着高危警告不管,去追一条可能毫无意义的异常记录。然而当“低风险”在流程上等同于“不用看”时,问题就来了——“低风险”不等于“零风险”,而攻击者早就吃透了你的习惯。
根据Intezer现场首席信息安全官的说法,企业技术栈越来越复杂,终端数、云基础设施、多身份系统交织,安全运营中心根本不可能逐一处理每一条报警。于是,绝大多数团队选择把精力集中在中高危告警上。这样做效率高,合乎直觉,也制造了一个精心伪装的安全感。
但威胁行为者偏偏最爱这种安全感。他们不会一上来就搞出惊天动地的警报,而是悄悄潜入,尽可能久地保持隐匿。既然你只会对高分贝的告警做出反应,他们就压低姿态,把攻击拆解成一系列不起眼的低风险操作,直到得手。
已有研究表明,超过一半的安全告警甚至从未被查看。在告警数量轻松突破百万的大型企业里,这一比例可能更严重。一方面,安全团队确实被数量压垮;另一方面,按严重程度分类筛选的“最佳实践”,反而成了攻击者隐匿自身的帮凶。
那么,有没有一种方式,能在不追加人手、不牺牲响应速度的前提下,让低风险告警不再等于“不看”?至少目前的答案并不乐观。现有的发现已经足够撕开一个尴尬的口子:你的团队每周可能都在亲手放生一个真实威胁,而那个被归类为“低风险”的告警,恰恰是不该被忽略的那个。
热门跟贴