安全左移
2023年,在全球范圍內(nèi),網(wǎng)絡(luò)安全事件層出不窮:美國(guó)某醫(yī)療設(shè)備廠商遭遇網(wǎng)絡(luò)攻擊,超過100萬(wàn)人的敏感信息被泄露;愛爾蘭一家知名的水果和蔬菜生產(chǎn)商由于遭受勒索軟件,生產(chǎn)工廠暫時(shí)關(guān)閉,導(dǎo)致了數(shù)千萬(wàn)美元的經(jīng)濟(jì)損失……諸如此類的安全事件不勝枚舉。究其原因,有的企業(yè)由于安全體系不健全,面對(duì)隱蔽性極強(qiáng)的攻擊“后者后覺”,最終導(dǎo)致了無(wú)法挽回的經(jīng)濟(jì)損失;有的企業(yè)雖然在其內(nèi)部網(wǎng)絡(luò)中檢測(cè)到了異常活動(dòng),但由于應(yīng)對(duì)不利,也給業(yè)務(wù)的正常運(yùn)行造成了負(fù)面影響。
無(wú)論是因?yàn)?ldquo;看不清”,對(duì)漏洞、弱密碼“視而不見”,或者由于安全設(shè)備多、告警復(fù)雜,只能是“霧里看花”,還是雖然“看得清”,但面對(duì)攻擊手法快速迭代的黑客攻擊、零日漏洞、病毒的新型變種等,由于能力不足或防護(hù)難度大而“防不住”,企業(yè)的安全底線正受到越來(lái)越嚴(yán)峻的挑戰(zhàn)。在這種情況下,企業(yè)必須積極行動(dòng)起來(lái),全面增強(qiáng)安全防護(hù)意識(shí),將“安全左移”,采用更加行之有效的手段和工具,提前預(yù)測(cè)、發(fā)現(xiàn)、揭示安全漏洞,從而更好地保護(hù)數(shù)字資產(chǎn)的安全。
“看見”威脅
受利益的驅(qū)使,再加上技術(shù)上的演進(jìn),現(xiàn)在的攻擊者有更充足的時(shí)間和資源設(shè)計(jì)并隨時(shí)隨地發(fā)動(dòng)新的攻擊。而且攻擊越來(lái)越具有隱蔽性和針對(duì)性,破壞性也更強(qiáng),很多時(shí)候能夠輕易繞過防御或逃避檢測(cè),這無(wú)疑增加了企業(yè)實(shí)施安全防護(hù)的難度。正因?yàn)槿绱耍鲃?dòng)式安全防御的思路就顯得更加重要且必要。面對(duì)不斷變化的新型網(wǎng)絡(luò)攻擊,企業(yè)用戶應(yīng)站在攻擊者的角度去思考和研究,攻擊者可能采用的攻擊戰(zhàn)術(shù)和手段、攻擊的來(lái)源和路徑等,從而提升對(duì)攻擊的可見性,做到知己知彼,才能實(shí)時(shí)地發(fā)現(xiàn)安全威脅,修復(fù)和緩解由此可能產(chǎn)生的危害。
為實(shí)現(xiàn)上述目標(biāo),檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅不可或缺。所謂檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅,是指積極識(shí)別和處理計(jì)算機(jī)網(wǎng)絡(luò)、系統(tǒng)或組織內(nèi)潛在的安全事件和惡意活動(dòng)。它包括監(jiān)視和分析網(wǎng)絡(luò)流量、系統(tǒng)日志和其他安全數(shù)據(jù),以識(shí)別未經(jīng)授權(quán)的訪問、入侵、惡意軟件感染、數(shù)據(jù)泄露或其他網(wǎng)絡(luò)威脅的跡象。近年來(lái),包括大數(shù)據(jù)、人工智能、深度學(xué)習(xí)等技術(shù)的引入,進(jìn)一步提升了人們“看見”威脅的能力。這為企業(yè)打贏安全防御之仗奠定了堅(jiān)實(shí)基礎(chǔ)。
一步也不能省
戴爾科技依據(jù)自身多年的安全防御實(shí)踐,歸納和總結(jié)出了一套檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅的流程和方法論,從監(jiān)視、威脅檢測(cè)、警報(bào)和通知、事件響應(yīng)、取證分析、修正和恢復(fù)等層面幫助企業(yè)用戶構(gòu)建一張主動(dòng)式安全網(wǎng)絡(luò),從而進(jìn)一步增強(qiáng)企業(yè)自身的“免疫力”。
監(jiān)視:依靠入侵檢測(cè)系統(tǒng) (IDS)、入侵防御系統(tǒng) (IPS)、日志分析和威脅情報(bào)反饋等安全工具和技術(shù),持續(xù)監(jiān)視網(wǎng)絡(luò)和系統(tǒng)活動(dòng)。越來(lái)越多的企業(yè)開始引入智慧監(jiān)測(cè)新模式,致力于構(gòu)建全方位、立體化、分層次的資產(chǎn)監(jiān)管體系。
威脅檢測(cè):分析所收集的數(shù)據(jù),以識(shí)別可能表明潛在網(wǎng)絡(luò)威脅的模式、異常情況和失陷指標(biāo) (IoC),主要包括識(shí)別已知的攻擊特征,以及識(shí)別異常行為或偏離正常情況的行為。建立威脅情報(bào)體系對(duì)于主動(dòng)防御大有裨益。通過構(gòu)建威脅情報(bào)生態(tài),建立威脅情報(bào)大數(shù)據(jù)共享開放平臺(tái),能夠達(dá)到更好的縱深防御效果。
警報(bào)和通知:當(dāng)檢測(cè)到潛在威脅或事件時(shí),要自動(dòng)向安全人員或安全運(yùn)營(yíng)中心 (SOC) 發(fā)出警報(bào)和通知。警報(bào)起到預(yù)警的作用,便于及時(shí)開展調(diào)查和采取應(yīng)對(duì)措施。
事件響應(yīng):啟動(dòng)響應(yīng)計(jì)劃,調(diào)查和緩解已確認(rèn)的安全事件,主要包括遏制影響,確定根本原因,以及采取必要行動(dòng)恢復(fù)系統(tǒng)并防止進(jìn)一步的損失。《網(wǎng)絡(luò)安全法》第二十五條明確規(guī)定:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告。
取證分析:對(duì)事件進(jìn)行詳細(xì)分析,以了解攻擊方法,確定數(shù)據(jù)泄露范圍,識(shí)別受影響的系統(tǒng)或數(shù)據(jù),并為可能的法律訴訟或處罰收集證據(jù)。在實(shí)踐中,企業(yè)應(yīng)采用風(fēng)險(xiǎn)識(shí)別與事件監(jiān)測(cè)相結(jié)合的綜合研判技術(shù),探測(cè)發(fā)現(xiàn)威脅企業(yè)的數(shù)據(jù)安全事件,并提供完整追溯取證證據(jù)鏈。
修正和恢復(fù):采取措施修正漏洞、修補(bǔ)系統(tǒng)、刪除惡意軟件并實(shí)施增強(qiáng)的安全措施,將受影響的系統(tǒng)和數(shù)據(jù)還原到正常狀態(tài),同時(shí)汲取經(jīng)驗(yàn)與教訓(xùn),以防止今后類似事件的發(fā)生。
打贏安全持久戰(zhàn)
網(wǎng)絡(luò)安全的本質(zhì)就是對(duì)抗,而且是一場(chǎng)長(zhǎng)久的博弈。為了應(yīng)對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)威脅,新的安全理念、技術(shù)也在不斷涌現(xiàn),并在應(yīng)用實(shí)踐中快速發(fā)展、不斷完善。在這場(chǎng)攻防大戰(zhàn)中,檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅的目的是盡可能降低安全事件造成的影響和潛在損害。如果企業(yè)能夠及時(shí)識(shí)別和應(yīng)對(duì)威脅,就能有效降低風(fēng)險(xiǎn),保護(hù)敏感數(shù)據(jù),保持業(yè)務(wù)連續(xù)性、維護(hù)聲譽(yù)。
檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅是一個(gè)持續(xù)且迭代的過程,需要將技術(shù)、熟練的人員、明確定義的流程以及組織內(nèi)的各個(gè)團(tuán)隊(duì)協(xié)同起來(lái),采取積極有效的措施,持續(xù)提高環(huán)境的可見性、控制力和響應(yīng)能力,從而保證企業(yè)和組織正常的運(yùn)行時(shí)間目標(biāo)和業(yè)務(wù)發(fā)展。
關(guān)于戴爾科技集團(tuán)
戴爾科技集團(tuán)致力于幫助企業(yè)和個(gè)人構(gòu)建數(shù)字化未來(lái),改進(jìn)他們的工作、生活和娛樂方式,為客戶提供面向數(shù)據(jù)時(shí)代全面和創(chuàng)新的產(chǎn)品、技術(shù)、解決方案及服務(wù)組合。
京公網(wǎng)安備 11010502049343號(hào)