大多数企业网络安全部门都以威胁(检测和响应)为中心,无论企业自身的威胁场景是什么,安全部门的建议都大同小异:投资检测和响应。但是,你如何知道哪些威胁对你的IT环境构成真正的威胁?热门的检测与响应安全方案真的能够让你高枕无忧吗?
很多企业网络安全部门与(传统)反恶意软件解决方案存在一个共同点,那就是:依赖签名和默认操作。但是签名是通用的,时不时会产生问题。
幸运的是,反恶意软件产品大多已经完成了自我进化,在检测层增加了额外的功能,例如端点检测和响应(EDR)。EDR更关注设备的行为。
今天,EDR已经成为企业网络安全技术堆栈的“刚需品”,是最流行的网络安全产品之一。EDR不是万能的,而且还会时不时地制造各种麻烦,但如果没有EDR,安全部门面临的麻烦更大。
但是EDR并非万灵药,自十年前Gartner首次发明EDR这个缩写词以来,EDR作为独立安全解决方案的防护能力正在不断衰减,甚至自身也成了猎物。例如,今天EDR面临的最大威胁就是精准攻击EDR系统的威胁,例如大获成功的Grandoiero银行木马。
EDR并不足以承担企业抵御高级威胁的唯一防线,而且,如果EDR没有与操作系统进行充分调试匹配,也会给企业留下重大风险和隐患。这些风险主要包括:
EDR作为第三方解决方案往往由于担心干扰生产资产而无法执行某些操作,这导致黑客能够利用第一方安全控制的漏洞来绕过EDR。
很多企业的操作系统权限尚不符合最小权限原则。员工经常享有过多权限而产生攻击面,导致很多EDR解决方案实际上扮演的是救火角色。
企业遗留资产,包括应用程序、协议、操作系统往往被保留或者启用,给EDR留下盲区。例如微软Exchange的基础身份验证或旧的微软HTA文件等。
大多数企业网络安全部门的注意力仍然主要集中在威胁签名上,很难进阶到下一层检测——用户行为分析。
是的,网络安全厂商们正在争先恐后地发布用户行为分析解决方案(UBA和UEBA),声称能够帮助企业发现未知威胁。但是,企业的安全主管们应该明白一点,这些解决方案大多仍处于其生命周期的早期阶段,通俗点说就是不够成熟的解决方案。
UBA的开发和应用(乙方和甲方)都需要团队拥有博士或至少硕士学位的数据科学人才,但是极少有UBA的标书和产品文档会提及这一点。
以上图IBM的QRadar的UI界面为例,你会发现UBA需要处理大量数据,其分析工作更具挑战性,除非对UBA产品和数据分析原理极为了解,否则很难产出有用的分析结果。
更可怕的是,部署UBA前,你需要花至少30天来训练数据模型,这种训练往往成为一场噩梦,因为训练使用的是生产环境的实时数据,其中可能包含潜在恶意行为指标,这意味着你的模型可能会存在缺陷,而日志文档没有记录任何相关信息。此外,很多企业的安全部门侧重于收集网络和服务器的事件数据而不是端点设备,这也会影响UBA方案最终的有效性。
总之,当你完全依赖安全供应商的UBA解决方案进行检测和响应时,你可能会面临一个严峻的问题:如果供应商的安全解决方案不能完全满足企业的需求和环境,这本身就是一种需要管理的风险。
对于某些安全功能需求而言,企业完全可以采购安全厂商的标准化产品/方案。但这并不适用于网络威胁情报,作为至关重要的安全服务,网络威胁情报(CTI)和网络威胁搜寻(CTH)需要定制方案来确保能够交付价值。为什么?因为网络威胁情报方案需要将各种数据源与各种数据格式结合在一起,这当然需要定制。
网络威胁情报的主要功能是采集外部威胁情报源并迅速决定优先级排序。尽管大多数网络威胁情报平台厂商都表示他们擅长采集各种外部威胁情报,但他们经常会忘记提及一件重要的事情:如何处理重复和/或冲突的数据?
![企业网络安全部门常踩的三个大坑]( "企业网络安全部门常踩的三个大坑")
有些企业声称自己解决了这个问题,那么新的问题来了,你如何知道哪些威胁情报(对你的环境来说)很重要?
威胁情报环境日志应该记录在单个配置管理数据库(CMDB)中,但CMDB本身引出了另一个问题:资产记录的详细程度如何?你在CMDB中注册的信息越详细越多,需要维护的数据量就越大。因此,定制是解决这个问题的关键。此外,安全部门进行漏洞扫描和渗透测试产生的大量数据源也需要集成到威胁情报和威胁狩猎流程中。
数据雪崩是威胁情报和威胁狩猎始终无法回避的难题,因此手动执行上述流程几乎是不可能的。但不幸的是,大多数网络威胁情报平台并不提供该功能。
原文来源:GoUpSec
原文始发于微信公众号(网络安全应急技术国家工程实验室):企业网络安全部门常踩的三个大坑
评论