自適應安全策略對於阻止高階攻擊至關重要
安全操作中心(SOCs)遇到的威脅很快就會從傳統的網路攻擊轉變成大範圍的破壞性勒索軟體攻擊,甚至是複雜的民族國家攻擊。在這種情況下,目前通過警報進行的分流和補救措施可能會失敗。
雖然警報是一個很好的調查起點,但它們並不能幫助防禦者有效地補救攻擊的嚴重性、影響和蔓延。安全團隊需要從孤立的警報佇列轉變為能夠處理整個端到端攻擊的事件。
從基於警報的分流和補救系統轉向圍繞全面的事件補救而建立的系統有巨大的優勢,包括節省時間和資源,大大減輕安全團隊的負擔,以及全面加強建立在零信任和深度防禦方法上的安全態勢。
事件檢視讓分析人員立即看到大局,瞭解攻擊的嚴重性和程度,這有助於SOC對關鍵事件進行優先排序,並制定一個明智的行動方案。它還大大減少了分析員佇列中的工作專案。
關聯性提供了活動是惡意的信心,因此事件得到更快、更容易的分流。確定事件中的一個活動是惡意的,就會對整個事件定罪,這有助於消除假陽性事件。
事件使分析人員能夠發現殺戮鏈中的 "空白",並通過將事件中的警報與MITRE ATT&CK知識庫中的技術和戰術進行對映,根據上下文填補這些空白。例如,如果我們看到事件中的初始訪問和橫向移動活動,我們就可以利用這一點來發現那些不足以觸發警報的永續性、指揮和控制以及憑證盜竊戰術。我們可以通過執行路徑自動回滾,找到最初的進入點,並向前滾動以揭示攻擊的全部範圍--這對決定如何遏制威脅、驅逐攻擊者和補救資產損失至關重要。
因為我們是針對事件而不是單個警報採取行動,所以SOC遊戲手冊也可以針對整個事件。這消除了 "追逐 "單個警報的需要,並實現了持久的更高層次的指導,不會因為每個新的警報型別而改變。在弄清事件的影響後,遊戲手冊現在可以清楚地識別、優先考慮和協調遏制步驟,以便一次性地完全驅逐攻擊者。
最後,事件模型將所有受影響的資產收集到一個共同的桶中,從而可以全面執行補救措施。
隨著威脅防護的發展,SOC需要調整和擴充套件其流程。立即採取四項行動來開始這個旅程。
1. 從警報到事件的分類
無論您的SOC使用SIEM還是XDR安全產品進行初始分流,都要確保它能在警報之上提出有意義的相關事件。根據對你來說很重要的引數,如該威脅的潛在風險、技術的範圍和殺傷鏈的進展,以及受影響資產的重要性,對你的事件佇列進行優先排序。
將您的 SOC 操作手冊與網路釣魚、勒索軟體和廣告軟體等事件類別相匹配。針對每個事件類別,定義 SOC 分析師應採取的措施,以快速瞭解該事件是真正的威脅還是虛驚一場,並立即阻止其發展。
根據階段或技術,為調查個別事件警報提供指導。確保發現並捕獲事件中的所有攻擊者活動和受影響資產--這構成了事件補救計劃的基礎。
最後,在考慮了整個事件(包括所有受影響的資產和證據)後,在受影響的資產中呼叫補救措施,使其恢復到乾淨的執行狀態。
2. 自動化
以結構化和持久的方式將SOC的遊戲手冊對映到事件上,可以實現協調的流程自動化。有些事件類別可以完全自動處理,並在不需要SOC關注的情況下得到端正的解決。對於其他事件,有些部分可能是自動化的(例如,初始分流、批量修復),而其他需要專業知識的部分仍然是手動的(例如,調查)。自動化應該利用事件圖來確定在哪裡以及如何協助分析員,節省重複的手工工作,並使SOC能夠專注於更復雜和高風險的事件。
3.帶著團隊一起行動
花時間解釋與相關事件合作的好處,以及這種方法如何改變防禦者的遊戲。探索MITRE ATT&CK框架,並使用它來構建你的SOC遊戲手冊的事件指導,使其具有擴充套件性和耐久性。當一個新的警報檢測到滲透,並且它被對映到適當的戰術或技術,現有的指導適用,不需要特殊的警報上機或新的指導。
記錄對先前案例採取的行動--整合到你的安全工具中--並使用這些資料來幫助分析人員瞭解如何更好地處理新的事件,並隨著時間的推移調整流程。將這些經驗擴充套件到整個行業的合作中,可以為組織和整個安全社群帶來巨大的好處。
4. 先試後買
尋找一種安全產品,使您的組織能夠轉向事件並支援這種SOC流程的演變。它應該實現將警報自動關聯到事件、優先順序、事件分類,以及在事件和警報層面將您的SOC遊戲手冊對映到MITRE ATT&CK戰術和技術的能力。
不要忘記定製,每個組織都有自己的偏好和特殊流程。尋找能夠根據組織內部和整個行業的事件歷史整合行動建議的產品。
來自 “ https://www.darkreading.com/vulnerabilities-threat ”,原文連結:http://blog.itpub.net/31545812/viewspace-2850344/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 高防CDN對於網站、平臺有著至關重要作用?網站
- 阻止SYN Flood攻擊
- 資料分析對於準備應對財務困境的企業至關重要
- 關注重要的Azure網路釣魚攻擊及對策
- 開放性對於超人工智慧(ASI)至關重要人工智慧
- Microsoft釋出有關阻止勒索軟體攻擊的指南ROS
- kubernetes高階之pod安全策略
- 下一代供應鏈攻擊需要新的安全策略
- 為什麼需求管理對於軟體開發過程至關重要
- 為什麼SNKRS http代理對於copping耐克運動鞋至關重要HTTP
- 武漢大學:如何應對來自郵件的APT攻擊?APT
- 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動微軟黑客
- Akamai:65.1%的Web應用程式攻擊來自SQL隱碼攻擊AIWebSQL
- 為何選擇合適的文件管理系統至關重要?
- 清晰的主題對於網站的高階設計有多重要?網站
- 攻擊面分析及應對實踐
- 如何應對與化解欺詐攻擊?
- Syn Flood攻擊的危害是什麼?Syn Flood攻擊如何應對?
- 客戶關係管理對企業起到至關重要的作用
- 關於iOS HTTPS中間人攻擊iOSHTTP
- 為什麼資源隔離對HTAP至關重要?
- 為什麼 Linux 對邊緣計算至關重要?Linux
- QTableWidget行高列寬自適應QT
- 應對CC攻擊的自動防禦系統——原理與實現
- [論文閱讀] ALM-HCS(高對比場景自適應對數對映)
- 移動網站應用設計:速度至關重要!網站
- 關於React的高階元件React元件
- 伺服器遭受攻擊後如何應對?伺服器
- 瞭解cc攻擊才能對應解決
- CC攻擊的原理和應對的策略
- LockBit勒索攻擊安全公司Entrust後,反遭其DDoS攻擊以阻止洩露資料Rust
- 清晰的工作描述對職場性別平等至關重要
- 調查表明:資料分析對產品成功至關重要
- 為什麼隱私至上的方法對基於資料的創新至關重要?
- 什麼是Syn Flood攻擊?Syn Flood洪水攻擊應對方法是什麼?
- 報告稱超6成Web應用程式攻擊來自SQL隱碼攻擊WebSQL
- 三列布局,中間自適應,關於float和positon方法
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT