什么是威胁检测和响应?

admin 2024年8月7日22:36:42评论24 views字数 1994阅读6分38秒阅读模式

什么是威胁检测和响应?

威胁检测和响应是识别任何可能破坏网络的恶意活动的实践,然后制定适当的响应以减轻或消除威胁,以免其利用任何现有的漏洞。

在组织的安全计划的背景下,“威胁检测”的概念是多方面的。即使最好的安全计划也必须为最坏的情况做好准备:当某人或某物已经滑过其防御和预防技术并成为威胁时。

检测和响应是人们与技术合作解决漏洞的地方。强大的威胁检测和响应计划将人员,流程和技术相结合,以尽早识别漏洞迹象并采取适当的行动。

检测威胁

说到检测和减轻威胁,速度是至关重要的。安全计划必须能够快速有效地检测到威胁,这样攻击者就没有足够的时间在敏感数据中肆意搜寻。一个企业的防御计划理想情况下可以阻止大部分以前出现过的威胁,这意味着他们应该知道如何对抗这些威胁。

这些威胁被认为是“已知”的威胁。然而,还有一些组织旨在检测的额外“未知”威胁。这意味着组织以前可能没有遇到过这些威胁,也许是因为攻击者正在使用新的方法或技术。

即使是最出色的防御措施有时也会让已知的威胁有机可乘,这就是为什么大多数安全组织都会在其环境中主动寻找已知和未知的威胁。那么,一个组织怎样才能尝试检测已知和未知的威胁呢?

利用威胁情报

威胁情报是从以前出现的攻击中提取的签名数据,并将其与企业数据进行比较以识别威胁。这使得它在检测已知威胁方面特别有效,但对于未知威胁则不那么有效。已知威胁是指那些可识别的恶意软件或攻击者基础设施,已被确定与恶意活动有关。

未知威胁是指那些在野外尚未被识别(或不断变化)的威胁,但威胁情报表明威胁行为者正在瞄准一大批易受攻击的资产、薄弱的凭据或特定的行业垂直领域。用户行为分析(UBA)对于帮助快速识别网络中的异常行为 - 可能表明存在未知威胁 - 具有不可估量的价值。UBA工具为给定环境中的“正常”建立了一个基准,然后利用分析(或在某些情况下,机器学习)来确定和警报行为何时偏离该基准。

攻击者行为分析(ABA)可以揭示攻击者进入您企业网络的多种战术、技术和程序(TTP)。TTP包括恶意软件、cryptojacking(使用您的资产来挖掘加密货币)和机密数据外泄等。

在发生泄露时,攻击者未被检测的每一刻都是他们进一步进入您的环境的时间。UBA和ABA的结合为确保您的安全运营中心(SOC)尽早收到潜在威胁的警报提供了一个很好的起点。

响应安全事件

实施适当的事件响应框架的最关键方面之一是利益相关者的买入和对齐,在启动该框架之前。没有人喜欢在重要工作等待完成时的惊喜或事后提问。基本的事件响应问题包括:

1、团队是否知道在事件响应的每个阶段由谁负责?

2、是否很好地理解了通信链?

3、团队成员是否知道何时以及如何根据需要逐步解决问题?

一个很好的事件响应计划和剧本最大限度地减少了漏洞的影响,并确保即使在紧张的漏洞场景中也能顺利进行。如果你刚刚开始,一些重要的考虑因素包括:

1、定义处理事件的角色和职责:这些责任,包括联系信息和备份,应记录在易于访问的渠道中。

2、考虑要涉及的人员:除了IT和安全团队外,还要考虑记录哪些跨职能或第三方利益相关者(例如法律,公关,董事会或客户)应该参与其中以及何时参与。知道谁拥有这些各种通信以及应该如何执行它们将有助于确保响应顺利进行,并在此过程中满足期望。

一个稳健的威胁检测程序应该采用什么?

1、利用安全事件威胁检测技术,从网络上的事件中聚合数据,包括身份验证、网络访问和关键系统的日志。

2、利用网络威胁检测技术,了解网络上的流量模式并监控网络流量,以及互联网。

3、利用端点威胁检测技术,提供用户机器上可能存在的恶意事件以及任何行为或取证信息的详细信息,以协助调查威胁。

4、利用渗透测试以及其他预防性控件,了解检测遥测和协调响应。

主动威胁检测计划

为了在遥测和主动威胁响应方面增加一点内容,了解没有单一解决方案非常重要。相反,一系列工具在整个组织的攻击表面(从端到端)上形成了一个网,试图在威胁成为严重问题之前捕捉到它们。

设置攻击者陷阱

有些目标对于攻击者来说太诱人了,以至于他们无法错过。安全团队知道这一点,所以他们设置陷阱,希望攻击者会上钩。在一个组织的网络中,入侵者陷阱可以包括一个蜜罐目标,这个目标可能看起来是网络服务的宿主,特别吸引攻击者。这些“蜜凭证”看起来具有攻击者进入敏感系统或数据所需的用户权限。

当攻击者追逐这种诱饵时,它会触发警报,这样安全团队就会知道网络中有可疑活动需要调查。了解更多关于不同类型的欺骗技术。

威胁狩猎

安全分析师通过主动进入自己的网络、端点和安全技术中寻找可能潜伏的未被检测到的威胁或攻击者,而不是等待威胁出现在组织的网络中,这就是威胁狩猎。这是一种先进的技术,通常由经验丰富的安全和威胁分析师执行。

通过结合这些积极的防御方法,安全团队可以监控组织员工、数据和关键资产的安全性。他们还将增加快速检测和减轻威胁的机会。

什么是威胁检测和响应?

原文始发于微信公众号(张无瑕思密达):什么是威胁检测和响应?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月7日22:36:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   什么是威胁检测和响应?https://cn-sec.com/archives/2002008.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息