过去几年来,一系列重大行业安全问题令企业将攻击性策略列为帮助缓解潜在攻击风险的首要工作之一。随着许多公司选择继续远程工作模式和混合工作环境,我们既不能忽视潜在安全风险,也不能听之任之。此外,还必须重视开发强大的防御性安全策略,与攻击性安全团队协同工作,从而识别潜在威胁行为,打造更强大的防御屏障,抵御不断演进的挑战者。
其中,威胁捕捉尤为突出,已成为公司必须拥有的安全组成部分。威胁捕捉包括识别威胁行为模式和根据可疑活动寻找环境中的异常和变化,从而构建相应的防御措施来应对威胁。
但是,成功的威胁捕捉方案由哪些要素构成呢?事实上,可疑活动识别可能不像看上去那么简单,而是需要全面的方法,包括主动人工检测、团队间持续沟通,以及招募/培养合适的人才来实现这一流程。
寻找合适的技术
威胁捕捉需要人工彻底审查可疑模式,并搜寻环境中未被公司现有安全工具和流程识别的威胁。找出潜在对手和高级持续性威胁(APT),预测他们的下一步行动,并阻止他们继续深入,是一场极具策略性的猫鼠游戏。
成功的威胁猎手需要充分了解所处环境、自己的团队所面对的已知威胁,并具备问题解决能力和批判性思考对手可能潜入途径的能力。某种意义上讲,这是终极侦探工作,是设计完善防御规程的基础。投资团队中合适的人才,培育开放交流的文化,是其中至关重要的一环。
为了获得线索或挖掘良策,Adobe威胁捕捉团队创建了一个消息机器人应用程序,安全运营中心或事件响应等安全团队可以使用该应用程序与威胁捕捉团队进行无缝协作。捕捉完成后,跨职能安全团队和利益相关者可共享威胁捕捉报告,从而改善公司现有安全态势。
威胁捕捉团队与检测团队携手合作,根据对手使用的新兴战术帮助完善现有方法和补充新的数据。他们还与负责集中运营安全数据的团队紧密协作,帮助识别漏洞、错误配置,并丰富数据,从而让安全团队能够更有效地利用这些数据。
不过,虽然威胁捕捉主要依赖人工流程,但自动化流程和机器学习无疑有助于推进威胁捕捉工作。聚合数据分析可以帮助快速发现公司网络中数据模式的异常,缩短团队梳理数据所需的时间。
例如,Adobe就使用机器学习和高级数据分析构建多个UEBA(用户和实体行为分析)管道,用以查看大量日志数据,帮助发现表明用户或实体行为发生变化的异常。这些异常经进一步丰富和关联后转化为线索(或警报,在必要时进行人工审查和升级。
阻止对手继续深入
有了合适的团队,安全团队就可以开始制定攻击计划和APT识别策略了:
-
支持对手可能获得网络访问权限的假设
-
制定清晰的方案目标(例如,减少对手驻留网络的时间,减少可产生重大影响的威胁的数量等等)
-
分析异常数据,跨团队协作建立更完善的防御
不是所有的威胁捕捉活动都会同样成功,所以,公司有必要制定计划,随着对当前数据趋势和对手的了解愈趋深入而调整威胁捕捉方案。如实告诉团队哪些措施有效而哪些无效,并知会他们利用机器学习和其他工具达成目标的新方法。
与攻击性战术相结合,威胁捕捉就是安全工作的有力补充。我们应将威胁捕捉视作不断发展的战略性潜在问题识别方法,视为成功的全面安全计划不可或缺的重要组成部分。
参考阅读
威胁捕捉:化被动为主动
有效威胁捕捉的五个建议
为什么威胁捕捉必需与XDR结合?
原文始发于微信公众号(数世咨询):威胁捕捉方案成功的要素
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论