SANS 2019事件响应调查报告

信息安全很少有一个沉闷的一天。过去一年造成了重大数据泄露，影响了从酒店到法律再到社交媒体的行业。我们已经看到了诸如业务妥协（BEC）之类的财务动机威胁的延续，这些威胁将继续掠夺和流失公司银行帐户。勒索软件将多个城市带到了膝盖上，在此过程中获得了威胁性参与者的大量资金。再加上一位民族国家赞助的威胁演员可能会将组织带入十字准线的威胁，几乎没有理由停止在企业网络中保持警惕。

警惕需要灵活和灵活的能力，尤其是考虑到如今威胁参与者的一系列选择。在过去的调查中，我们赞扬受访者改善了响应时间，增加威胁情报的使用，并提高其网络中的自动化和集成量。但是，这项工作从未完成。我们必须不断进步。上述威胁不一定是新的，但也许更精致。例如，一些威胁参与者已经从嘈杂的自定义恶意软件转变为内置的Microsoft Windows功能“靠土地生活”。本着这种精神，我们确定了今年调查的主题：是时候进行更改了。

今年的调查显示，事件反应（IR）的重要改善。我们喜欢今年的一些增长：

• 遏制和补救措施（事件响应最重要的阶段的两个）短时间。
• 内部以更高比率检测到事件
• 误报降低了，我们希望这意味着组织在对事件进行分类方面变得更好。