安全團隊每天面對成千上萬條告警,早已練就一套“選擇性無視”的本領——把低級別警報統統歸為噪音。但最新的企業級大規模分析卻發現,大約1%的真實入侵,最初的告警等級就是“低風險”。
按每年45萬條告警的普通企業來算,這個1%意味著平均每周就會有一個真實的威脅從眼皮底下溜走。比例聽起來不大,可這恰是攻擊者最想看到的結果:你的團隊每天自信滿滿刪掉的“無害”提示里,藏著他們潛伏的入場券。
![]()
這件事的荒誕之處在于,按嚴重程度對告警排序,原本是為了從海量噪音中活命。沒人會放著高危警告不管,去追一條可能毫無意義的異常記錄。然而當“低風險”在流程上等同于“不用看”時,問題就來了——“低風險”不等于“零風險”,而攻擊者早就吃透了你的習慣。
根據Intezer現場首席信息安全官的說法,企業技術棧越來越復雜,終端數、云基礎設施、多身份系統交織,安全運營中心根本不可能逐一處理每一條報警。于是,絕大多數團隊選擇把精力集中在中高危告警上。這樣做效率高,合乎直覺,也制造了一個精心偽裝的安全感。
但威脅行為者偏偏最愛這種安全感。他們不會一上來就搞出驚天動地的警報,而是悄悄潛入,盡可能久地保持隱匿。既然你只會對高分貝的告警做出反應,他們就壓低姿態,把攻擊拆解成一系列不起眼的低風險操作,直到得手。
已有研究表明,超過一半的安全告警甚至從未被查看。在告警數量輕松突破百萬的大型企業里,這一比例可能更嚴重。一方面,安全團隊確實被數量壓垮;另一方面,按嚴重程度分類篩選的“最佳實踐”,反而成了攻擊者隱匿自身的幫兇。
那么,有沒有一種方式,能在不追加人手、不犧牲響應速度的前提下,讓低風險告警不再等于“不看”?至少目前的答案并不樂觀。現有的發現已經足夠撕開一個尷尬的口子:你的團隊每周可能都在親手放生一個真實威脅,而那個被歸類為“低風險”的告警,恰恰是不該被忽略的那個。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.