許多企業的安全維運中心(SOC, Security Operations Center)在面對海量警報時,會不自覺地形成一種慣例:忽略低風險(Low-severity)或僅為資訊性質(Informational)的警報。這種做法看似是為了在有限的人力資源下優先處理緊急事件,但實際上卻為攻擊者創造了完美的掩護空間。
根據一份分析 2500 萬筆安全警報的報告,這種依賴風險分級的篩選機制,導致企業平均每週會漏掉約一次的真實入侵事件。
風險分級的經濟學陷阱
在典型的企業環境中,一年可能會產生約 45 萬筆警報。如果安全團隊只關注高風險事件,而忽略那 1% 被標記為低風險的警報,這意味著每年有約 54 個真實威脅被視為噪音而直接捨棄。
這裡的核心問題不在於偵測工具(Detection)失效,而是在於分流經濟學(Triage Economics)。當警報數量遠超人力處理能力時,分析師被迫採取激進的篩選策略,導致偵測到了威脅,卻因為標籤是低風險而沒有人去調查。
EDR 標記已緩解並不代表安全
許多工程師與分析師習慣信任 EDR(Endpoint Detection and Response,端點偵測與回應)工具的自動化處理結果。當 EDR 顯示威脅已緩解(Mitigated)或已關閉案件時,通常會認為該主機已恢復乾淨。
然而,實務數據顯示,在經過深度記憶體鑑識(Forensic Memory Scan)的案例中,有 51% 被 EDR 標記為已緩解的端點,實際上仍存在活動中的感染。這些感染包含 Mimikatz、Cobalt Strike 等成熟的攻擊工具。這說明了單純依賴 EDR 的自動化標記具有高度風險,若缺乏記憶體層級的分析,許多威脅會長期潛伏在系統中。
現代釣魚攻擊的演進
目前的電子郵件安全網關(Email Gateway)正逐漸失去效用,因為攻擊者改變了策略:
第一,擺脫附件。現在絕大多數的釣魚郵件不再包含惡意附件,而是利用連結與社交工程誘導。
第二,利用信任平台。攻擊者將惡意內容託管在 Vercel、OneDrive 甚至 PayPal 的合法發票系統中。由於郵件確實是從合法域名發出,且通過所有身分驗證檢查,傳統的簽章偵測完全失效。
第三,反制自動化掃描。攻擊者開始使用 Cloudflare Turnstile 等 CAPTCHA(驗證碼)機制。這原本是用來防止機器人的,但現在被用來阻擋安全廠商的自動化掃描器,讓釣魚頁面在掃描器面前保持隱形。
雲端環境的長線作戰
在雲端遙測數據中,攻擊者的行為模式已從快速橫向移動(Lateral Movement)轉向長期的潛伏與持久化(Persistence)。他們傾向於利用 Token 操作或濫用雲端原生功能,刻意避免觸發高風險警報。
此外,AWS S3 的配置錯誤(Misconfiguration)佔了雲端違規項目的 70%。這些配置問題通常被標記為低風險,但在攻擊者取得初步權限後,這些低風險的漏洞將成為他們加速擴張、獲取權限的關鍵跳板。
從人力瓶頸到 AI 驅動的全面調查
傳統 SOC 與 MDR(Managed Detection and Response,託管偵測與回應)服務面臨的共同瓶頸是人力無法隨數據量擴張。即便引入 SOAR(Security Orchestration, Automation and Response,安全編排自動化與回應)來優化流程,分析師仍然需要手動執行調查。
這種模式會導致一個危險的負回饋循環:因為低風險警報從未被調查,所以漏掉的威脅永遠不會被發現,而偵測規則(Detection Rules)也因為缺乏真實失敗案例的回饋,無法得到修正與優化。
要打破這個僵局,唯一的路徑是將初步調查(Triage)從人力轉移到 AI。當 AI 能在亞分鐘等級內處理 98% 的警報並保持高準確率時,分析師的角色將從發現問題(Discovery)轉變為決策分析(Decision)。
當企業能夠對所有警報進行鑑識級的分析,而非依賴風險標籤時,才能在威脅演變成大規模入侵前,捕捉到那些微弱但致命的早期信號。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。