網絡“狩獵”是企業(yè)安全的重要組成部分,本文中專家Eric Cole介紹了它可如何幫助企業(yè)阻止攻擊。
對于遭受攻擊的企業(yè),主要有以下說法:“這里有兩種類型的企業(yè),那些知道他們受到攻擊的企業(yè)以及還不知道自己受到攻擊的企業(yè)。”
真的是這樣嗎?另外還有一個更相關的說法:“這里有兩種類型的企業(yè),那些發(fā)現(xiàn)和檢測攻擊的企業(yè)以及持觀望態(tài)度無視問題的企業(yè)。”如果沒有可操作的步驟(例如部署最低風險評估或采用攻擊性對策),安全并沒有什么用。底線是:對于企業(yè)而言,積極的網絡“狩獵”(即積極尋找企業(yè)中的攻擊跡象)必須是企業(yè)安全計劃的一部分,因為它是任何防御計劃的關鍵部分,如果不是的話,應該將其涵蓋進來。
信息安全的核心原則主要圍繞這個概念:“防御是應該做的工作,但檢測是必須做的工作。”在大多數(shù)企業(yè)中,防御一直是過去幾年的主要重點,這并沒有問題,但現(xiàn)在是時候把重點放在檢測,其中應將網絡“狩獵”作為解決方案的關鍵組件。
在“狩獵”中,以下兩個關鍵指標可用來衡量成功:
攻擊時間:關注企業(yè)受到攻擊的時間長度。在短期內受到攻擊是可接受的;但遭受攻擊超過一年是不可接受的。由于很多攻擊非常隱蔽,可能躲避傳統(tǒng)的安全措施,而“狩獵”是發(fā)現(xiàn)攻擊者以及減少整體攻擊時間的重要組成部分。
橫向移動:關注攻擊者造成的損害程度。通常情況下,當攻擊者入侵企業(yè)時,他們并不是瞄準包含信息的系統(tǒng)。他們必須建立一個支點,然后慢慢更深入網絡,直到找到他們所需要的關鍵信息。他們在網絡中的這種活動被稱為橫向移動。“狩獵”可在攻擊者入侵后找到攻擊者,但是這是在他們感染關鍵數(shù)據(jù)之前。通過中斷橫向運動,企業(yè)可以了解損害程度以及最小化攻擊的整體影響。
網絡“狩獵”面臨的問題是企業(yè)應該關注它并采取行動。很多企業(yè)感到受挫,因為在大型企業(yè)中的“狩獵”相當于在海邊丟了戒指,并試圖第二天回去找到它,攻擊面太大。對此,企業(yè)可通過威脅情報了解攻擊者如何工作,以及專注于關鍵資產,“狩獵”是可管理的任務。下面是把“狩獵”付諸行動的工作清單:
· 確定你企業(yè)中最重要的數(shù)據(jù)或信息;
· 確定哪些業(yè)務流程在使用或訪問這些信息;
· 確定所有支持關鍵業(yè)務流程的系統(tǒng)和網絡;
· 獲取進行適當“狩獵”所需關聯(lián)和分析的工具;
· 收集有關流向關鍵系統(tǒng)/網絡的流量信息;
· 收集有關服務器運作的信息;
· 利用威脅情報來了解企業(yè)面臨的威脅和風險;
· 利用工具開始對正常行為和攻擊行為執(zhí)行自動分析;
· 對工具輸出執(zhí)行過濾;
· 對高風險警報適當?shù)刈龀鲰憫?/p>
構建有效的網絡防御計劃是企業(yè)和攻擊者之間一場持久戰(zhàn)。隨著攻擊者不斷發(fā)展,安全必須也不斷改進來應對瞬息萬變的威脅載體。現(xiàn)在,下一級安全性主要圍繞控制攻擊造成的損害程度。筆者喜歡用的比喻是,生病沒有問題,但沒有必要放在重癥監(jiān)護病房(ICU)。這里區(qū)別在于當問題發(fā)生時你如何響應問題。很多企業(yè)在發(fā)現(xiàn)自己成為新聞頭條時感到很難堪;這相當于網絡ICU。但通過專注于發(fā)現(xiàn)、控制和減少攻擊者的影響,數(shù)據(jù)泄露會是小問題,而不會讓企業(yè)成為頭條新聞。
京公網安備 11010502049343號