如何有效斩断攻击链条

admin 2023年3月8日23:42:37评论11 views字数 2892阅读9分38秒阅读模式

安全领域之外的人们往往将安全看成是一种二元的东西:网络处于攻击中或没有遭到攻击,网络犯罪正在针对企业网络或根本没有这回事,安全工具阻止了威胁或遗漏了威胁。但事实要复杂得多,只要我们花费时间调查日志文件或分析攻击的相关证据就会理解这一点。


某个网络可能正被直接攻击,但也有可能受到发生在别处的事件的非直接影响;一台关键的服务器可能因一个系列攻击事件的结果而瘫痪,导致网络的一部分离线,从而使得服务器脱离攻击目标;终端用户在与遭到攻击的设备交互时,可能无意地扩散了恶意软件等。在为这些不可预测事件做准备时,企业就需要实施一种全面而整体性的安全策略


当今的深度防御背后的观念绝不仅仅是将不同厂商的方案部署到位,以捕获彼此遗漏的问题或错误。这种深度防御涉及到将网络相互连接,并且将安全设备和技术统一起来,从而对已知的和未知的威胁进行实时响应,进而斩断攻击链条。


减轻威胁首先要做的事情是什么?是确认包括最复杂的分多阶段实施攻击在内的各种攻击,并且在其实现目标之前加以阻止。要打破攻击链,安全方案就需要检测并且快速调整其安全状态,从而有效地阻止威胁、零日攻击,以及正在发生的攻击。这些受信任的洞察还有助于安全工程师能够关注重点,并可以为下一步的行动提供建议,特别是在有自动化工具时更是如此。


如何有效斩断攻击链条


理解和斩断攻击链

有效的安全策略需要能够洞察和截断攻击链中的每一步,并且能够及时阻止攻击。在有些情况下,响应可能与检测攻击并不同步,这也进一步说明了在整个企业中协调好预防工作的重要性和必要性。


当然,协调预防实现起来并不容易。这就要求安全团队能够理解攻击的步骤,并且将其映射为能够对已知和未知的攻击变种及其要素做出响应的解决方案。虽然攻击链条中的步骤可能多种多样,但我们总能发现一些一般性的组件,当然还有一些可以阻止攻击的工具。


那么,攻击链条是如何生成和发展的呢?

一是侦察阶段。此阶段包括收集电子邮件地址、搜索网站和社交媒体、探测网络边缘查找可利用的漏洞、扫描端口和流量进而设法突破防御。安全策略应当包括下一代防火墙、Web应用防火墙和入侵防御系统等,用以检测和对扫描和探测等做出检测和响应。安全策略需要包括下一代防火墙、Web应用防火墙和入侵防御系统等,用以检测以及对扫描和探测等做出检测和响应。尤其重要的是,要优先重视物联网和操作技术(OT)的感知技术,并且利用欺骗技术使攻击者更加难以确定真实设备、端口以及通信等。


二是武器化。此阶段一般涉及构建一个漏洞利用程序来对付一个已知的漏洞,例如针对一个尚未应用补丁的已发布的漏洞。但这个阶段也有可能涉及通过高级勒索软件或其他的基于恶意软件攻击的零日漏洞,从而使得安全检测更为困难。安全系统需要包括高级威胁防护(ATP)技术等,例如沙箱技术,用以检测、分析和防止新产生的可以绕过传统安全方法的恶意软件。而且这个阶段还要求能够包括网络、端点和云等在内的一致性的反病毒功能。


三是传递。最常见的恶意软件传递机制仍是受感染的电子邮件和受损害的网页。安全邮件网关和Web安全方案需要能够检测和阻止受到感染的附件、链接、网站等。凭据被盗的预防和针对钓鱼攻击的积极的员工培训有助于更好地减少攻击面。由于一些复杂攻击越来越成为一种大型攻击策略的一部分,所以这些安全功能需要在网络、端点和云中持续地应用。


四是漏洞利用、安装和通信。这种围绕着相同数据集的协调多种技术的伎俩极其危险。一旦恶意软件成功损害了一个目标,它的目的就是利用受害者的漏洞在目标系统上执行代码,构建命令和控制通信,然后在网络中迁移和扩散。IPS、反病毒、沙箱、Web和视频过滤等都可被用于破坏这种攻击连环套。更大的问题是,企业沙箱的分析结果如何能够快速地发送到反病毒、DNS等技术上,从而可以阻止新发现的攻击。此外,企业的安全运营中心团队可以从端点检测和响应、扩展威胁检测与响应(XDR)工具中获益,可以看到和检测在端点、网络、云中的横向迁移行为。高级人工智能、欺骗、SOAR(安全编排与自动化响应)是帮助企业进行实时检测和响应的关键。


五是扩展和泄露数据。攻击者一旦进入目标系统,就会建立一个桥头堡,在网络中横向迁移活动,查找和确认有价值的数据,然后将数据泄露出去。这一步可能是自动化的,或者可能涉及到入侵者的直接行动。行为分析等解决方案可以有助于检测未授权的行为,而欺骗技术可用于干扰攻击者,并迫使其激发警报,因而可以减少攻击者在网络内部长期隐藏的可能性。


众多安全策略无效为哪般

多数安全策略的问题首先在于其只能识别和响应攻击链中的少量步骤,因为解决方案要么是孤立的,要么仅能访问有限的数据集。


其次,前文描述的很多安全事件的设计目的也是为了逃避检测,因而不会激发警报。其手段可包括诸如利用多种方式进入网络从而使得孤立的安全系统被蒙蔽,并导致真正的攻击绕过防御机制。


此外,不同的安全方案不能有效地关联威胁情报。如果不能分享并利用常见的威胁情报,就不会产生“1+1>2”的效果,也无法形成挫败攻击的适当方法。


对统一安全平台的需要

解决上述这些问题需要实施如下三个关键要素,且都围绕着单一需要而构建:对常见安全平台的需要。


首先,单一安全平台支持不同的解决方案(无论是来自单个厂商的或是多个厂商的),可以查看并关联不同的事件。当然,这种安全平台需要能够广泛部署到每一个网络边缘和设备上。这就确保了在整个企业的运营环境中(网络、端点、云)以及在整个攻击链中的普遍可见性。这种平台还需要监视网络连接和应用程序的要素,从而可以轻松地适应动态的网络和应用程序环境。而且,它还需要常见的安全和管理架构,能够支持可以轻松发现、自动共享、集中协调的统一威胁情报。


其次,这种安全平台还必须确保在其不同的安全要素之间的深度整合,这可以通过利用常见的操作系统或利用常见的标准和开放性API来实现。而且,这种整合平台的方法还必须支持部署在网络中的每种解决方案都能够作为一个统一系统的一部分而运行,从而可以使安全团队以协调一致的方式有效地看见、共享和关联威胁,并对其做出响应。


第三,这种平台需要能够利用自动化。最后一点,预防速度是安全的关键。如果您完美地实施了上述措施却响应太迟,攻击者同样可以得手,那就变得毫无意义了。如果企业能够借助训练有素的机器学习技术,以及能够利用端点、网络和云中的统一数据集的人工智能技术进行检测、调查和响应(包括用新的可用的威胁数据重新进行安全配置),就可以更高效地运行安全机制。实现有效和全面的自动化是任何安全平台的终极目标,在管理不断扩张的网络和不堪重负的安全团队时,这一点尤其关键。


深度防御并非新概念。但实际上,最佳的深度防御策略不应当是把大量的“点方案”塞到网络上。恰恰相反,这种最佳防御策略应当支持部署在分布式网络(包括端点、云和应用程序)中的多种工具,并作为一种统一的解决方案而运行,能够检测企业在任何位置和攻击链中的威胁,并做出响应。实现此目标的最佳方法是使用常用的安全平台来构建一种综合性的安全架构。


来源:《网络安全和信息化》杂志


(本文不涉密)


原文始发于微信公众号(网络安全和信息化):如何有效斩断攻击链条

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月8日23:42:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何有效斩断攻击链条http://cn-sec.com/archives/1237386.html

发表评论

匿名网友 填写信息