Search

  1. China
  2. 安全洞察
  3. 安全分析
  4. 在网络攻击防御、检测和响应之间找寻平衡

在网络攻击防御、检测和响应之间找寻平衡

对抗网络攻击威胁就像生活中发生的所有事情一样,这是一个平衡问题。下面是我们的建议。

 

网络犯罪行业的转变

大约15年前,对手的动机开始从名声和好奇心转向犯罪商业模式和生态系统。这引起了战术上的变化。网络罪犯需要保持警惕。

过去的十年中入侵事件比之前更为频繁。而过去的5年中,我们观察到每年会发生一到两次重大安全入侵事件。今天的速度差不多是每周一到两次。

这一领域的研究表明,有组织网络犯罪的收入很快就超过了“现实世界”的犯罪收入。据cybersecurityventures.com研究表明,全球网络犯罪成本已从2016年的3万亿美元上升到今年的6万亿美元。预计到2025年将达到10.5万亿美元。5-6年前勒索软件的商品化进一步增加了赚钱的“机会”。

勒索软件已经从大多数情况下可以被视为企业附带损害的东西(因为目标主要不是公司,而是个人)变成了今天企业范围内更大的问题。对于个人来说,恢复系统和损失的生产效率当然是痛苦的,成本也有点高,但在大多数情况下可以通过恢复备份来解决。

我们今天看到的是这样一种转变:在对多个系统(通常是最关键的系统)实施严密规划的勒索软件攻击之前,对手在客户环境中已秘密潜伏了数周、数月甚至数年的时间。在某些情况下,甚至使用客户的分发工具来传播勒索软件。

这种攻击方案的其中一个目的是,对手要在客户环境中寻找(并经常找到)知识产权或“皇冠珠宝”。如果客户拒绝支付最初的赎金要求,这些数据可能会被出售,甚至被用作第二个杠杆点,这意味着即使攻击者已经离开并解密了之前加密的系统,他们可能并未真的离开。在攻击结束时使用勒索软件也是在目标业务中造成混乱的一种方式,也是为了掩盖被盗数据的踪迹。

防御是首要的

“防御是理想的,但检测是必须的”,在如今入侵几乎不可避免的情况下,这句话比以往任何时候都更贴切。确实,当一个入侵者绕过防御机制时,如果您能及时发现它,便可避免灾难的发生。

这句话的进一步延伸是“没有响应的检测无法发挥应有的价值”,意味着在有检测但没有正确响应与有检测且有能力正确响应两者之间,在发生入侵事件时最终产生的后果会大不相同。

只有防御还不够

从历史上看,网络安全一直非常注重防御。今天,这仍然是投资最多的地方。然而,只投资这一领域不会为您在发现入侵事件上赢得更快时间。

防御投资一开始会带来立竿见影的效果。但随着时间的推移,由于缺乏对检测和响应能力的投资,安全防御优势不再,最终还是无法阻止威胁。从您的安全预算中拨出更多投资到检测和响应能力上,以便取得平衡。

 

SOC三体

正如我们所看到的,防御很重要,但还不够。现在比以往任何时候都需要检测能力,以便能够看到什么通过防御。

2015年,Gartner分析师Anton Chuvakin提出了”SOC三体“的概念。”SOC三体“是围绕这样一个理念构建的,即SOC应包括以下主要支柱,以实现最佳的可视性覆盖:

▪.   SIEM/UEBA

▪.   网络检测与响应

▪.   端点检测与响应

理想情况下,任何公司都应该具备上述所有能力,当然,每个检测支柱都有其优缺点。

根据我们的经验,获得环境可见性的最快方法是从端点开始。端点是攻击者的中心,通常是攻击的焦点。在这里,您可以获取有关攻击者操作方式的最全面信息。因此,在快速获得可见性方面,一个好的端点检测和响应(EDR)代理对最终用户组织的依赖性最小,可以提供最广泛的入侵检测覆盖范围。

与网络安全领域的大多数案例一样,这不仅是一种技术选择,拥有正确的技能和流程同样重要,从而帮助我们理解技术所带来的可见性。

端点和防御

始终努力做到最好的防御,越有效,您就越能通过防御系统过滤掉更多威胁,最终经过检测端的威胁便会更少。

例如,许多重大的企业入侵事件都影响到那些在安全团队(包括人员和流程)上投入大量资金的公司,他们拥有检测技术,并且生成了指示入侵的告警。但是,人、流程和技术没有统一,导致告警泛滥,这使得分析师很难在一大堆告警中找到突破口。

流程应该是可重复的(并且尽可能自动化)、一致的,最重要的是,应该被那些负责交付的人理解并定期实践。当涉及到检测和响应威胁时—就像任何事情一样—熟能生巧。

端点和检测

如果没有检测能力,您将无法看到什么正在通过您的防御。而要查看所有内容,最好的方法是在端点上,因为您可以监视进程、内存、用户、流量(在加密之前)等。

有很多技术可以从端点收集遥测数据,但从技术角度来看,关键是下一步如何处理收集的数据点。如果有一种技术可以帮助分析师找到快速的突破口,将点连接成时间线,将在分析阶段节省大量时间和精力。

唯一的缺点是,您不能在网络中的所有设备上安装传感器或代理,因此“SOC三体”解决方案可以在较长期内提供更完整的可见性和覆盖范围。

因此,虽然端点往往是一个好的起点,但您也必须着眼于未来。您将如何建立一个检测策略?您将使用哪些既定框架来帮助指导该策略?一旦您有了这种可见性,您将如何交付?

 

无响应检测效果将大打折扣

检测时间很关键。但提供适当响应的时间从而降低入侵损害也很重要。

响应可以是隔离受影响的端点、重置用户密码或开始更彻底的事件调查。但更多的是与流程相关的任务,例如何时将事件升级到管理层、如何与外部方(如法务、媒体等)沟通,以及如何处理不同类型的网络安全事件(例如,钓鱼事件处理可能与DDoS攻击非常不同)。

关键是,即使IT系统故障,您也需要了解您的响应能力以及如何使用它们;对于后者,您是否仅有关键利益相关者的电子版联系信息,或者还有打印版的?这也涉及到业务连续性计划(BCP)的重要性,但这是另一个话题了。

总结

在当今的威胁形势下,检测和响应能力是必须的。同样重要的是,无论端点位于何处(内部/外部),都要尽可能地遵循这一点。在受COVID-19影响的时间里,这更成为一大动因,因为远程劳动力的大幅增加导致了在控制和管理端点上的许多挑战。