SIEMs未能检测出大量MITRE ATTCK技术 媒体

企业SIEM报告揭示重大安全挑战

重点概述

CardinalOps发布的年度报告指出，企业安全信息和事件管理SIEM在检测对手使用的主要MITRE ATTampCK技术方面存在显著缺陷。 该报告显示，SIEM仅能检测出前14种攻击技术中的不足5种，并且缺失检测的比例高达80。此外，仅25的组织会利用基础身份日志进行检测，强调了零信任架构下身份监控的重要性。

CardinalOps最近发布了其第二届年度报告，报告指出，企业的安全信息与事件管理SIEM系统在实际应用中，能够检测到的MITRE ATTampCK攻击技术不足5种，特别是对于前14种技术而言。

报告还提到，SIEM系统缺失超过80的ATTampCK技术检测，且15的SIEM规则存在问题，无法触发，这主要是由于某些字段提取不正确或日志来源未发送所需数据所致。

另一个紧迫的问题是，尽管25的组织会将如Active Directory和Okta等身份日志转发至其SIEM，但实际上使用这些日志进行检测规则的组织却寥寥无几。这是一个值得关注的问题，因为身份监控已成为加强零信任安全架构的重要数据来源。

尽管企业在安全运营中心SOC投入了大量时间和金钱，安全监测仍然存在被攻击的风险，CardinalOps的联合创始人兼首席技术官Yair Manor指出。Manor表示，SIEM的配置复杂，新日志源不断增加，检测工程师发现自己难以跟上最新的漏洞和MITRE ATTampCK技术。

“正如SOC的其他领域，例如事件响应，利用分析和自动化是提高SOC效率的一种方式，可以更好地使用现有的安全技术堆栈，” Manor说。

Coalfire的副总裁Andrew Barratt表示，他们的团队常常被召入调查数据泄露事件。他提到，SIEM中的数据缺失已成为一个显著问题。

“许多大型组织仍然没有进行足够的基础日志记录更不用说在MITRE ATTampCK框架下对其数据源进行建模，除非他们使用的是能够主动做到这一点的终端工具，”Barratt说道。“我们越能将ATTampCK框架的上下文归属到我们的数据源中，我们SOC工作人员的工作就会越有意义。唯一的问题是，恶意攻击者只需创建一种新的攻击模式，而我们未对其进行监控。这个时候，AI对数据集的分析便显得尤为重要。”

通过使用更先进的技术和方法，企业可以更好地应对不断演变的网络威胁，以最大化现有安全技术的效能。