在去(qù)年(nián)的(de)一(yī)年(nián)中,發生(shγδēng)了(le)大(dà)量對(duì)行(xíng)業(yè)帶來(lái)巨大(dà)沖✔ α擊的(de)數(shù)據洩露事(shì)件(jiàn),↑∞受影(yǐng)響行(xíng)業(yè)包括醫(yī)療、執法機(jī)≤✔↓構、社交媒體(tǐ)等。越來(lái)越多(duō)的(de)Ω 攻擊是(shì)由經濟利益驅動的(de)↕≥ε——比如(rú)商業(yè)郵件(jiàn)欺詐(BEC),依φ↕然會(huì)對(duì)企業(yè)的(de)銀(yín)行(™←$xíng)戶頭帶來(lái)巨大(dà)的(de)災難。另一(§↑yī)方面,勒索軟件(jiàn)造成多(duō)個(gè)城(chéng)市(shì)Ω& 、中小(xiǎo)學和(hé)高(gāo)等院↓∏校(xiào)不(bù)得(de)不(bù)支付了(le)高☆"(gāo)額的(de)贖金(jīn)。再考慮到(dào)許多(duβ£ Ωō)威脅背後有(yǒu)政府推動的(de)情況≠≠₹ ,各大(dà)企業(yè)絲毫不(bù)能(néng)掉以輕心。但(dàn)是(shì£★∑),謹慎也(yě)需要(yào)靈活,尤其在如(rú)今₹ 防範威脅的(de)手段極其豐富的(de)情況下(xià)。 ¶₹÷±
SANS事(shì)件(jiàn)響應報(bào)告的(de)關鍵發現(x↑≠↓≠iàn)
SANS的(de)2019年(nián)事(shì)件(jiàn)響應報(b✘♠ào)告中發現(xiàn)了(le)在事(sh>πì)件(jiàn)響應中的(de)重大(dà)進步。事(shì)件(jiàn)響應的(deε÷→)兩個(gè)最重要(yào)步驟——抑制(zhì)和(hé)修複,其所需要(yào)的&"✘∞(de)時(shí)間(jiān)被縮短(duǎn)了(le)。威脅事(shì)件(ji™∞àn)從(cóng)內(nèi)部被檢測的(de)比例也(yě)大(dà)幅度提升。誤報(bào)₽≤'Ω數(shù)量也(yě)減少(shǎo)δ>π'了(le),從(cóng)而意味著(zh¶γ¥e)組織已經能(néng)更好(hǎo)地(dì)識别各類事(s<↔hì)件(jiàn)。
然而,即使有(yǒu)了(le)不(ε♦↑±bù)錯(cuò)的(de)改進,之前一(yī)些(xiē)頑疾始終存在。許多(du✘↓¶€ō)組織在可(kě)見(jiàn)化(huà)能(néng)力上(shàng)存在明(míng)♦≥γ顯短(duǎn)闆;解決可(kě)見(jiàn)性這(zhè)一(δ&₽σyī)問(wèn)題必須成為(wèi)組織安全項目的(de)基石。如(rú)果對(d£✘¶ uì)自(zì)身(shēn)的(de)環境一(yī)無所知(z©✘₩εhī),那(nà)就(jiù)很(hěn)難決定該采取怎樣的(de)安全措' ∏♥施。另外(wài),許多(duō)受訪者再一(yī)次對(duì)員(yuán)工(gō§★ng)以及安全技(jì)能(néng)的(de)短(duǎn)缺表達了(le)不πδσ↕(bù)同程度的(de)擔憂;這(zhè)一(yī)問(wèn)題可(kě)能(☆∏néng)需要(yào)跳(tiào)出思維局限進行(xíng)思考才能(<≥néng)解決。
事(shì)件(jiàn)響應的(de)正面發現(xiàn)
2019年(nián)的(de)事(shì)件(jiàn)響應報'×≥∏(bào)告中顯示,一(yī)些(xiē)關鍵領域有(yǒu)↓ ε積極作(zuò)用(yòng)。組織能(néng)↕φ更快(kuài)速地(dì)抑制(zhì©₩₹)攻擊擴散并進行(xíng)修複,同時(shí)更高(gāo)效地(dì)檢測到(★♣dào)事(shì)件(jiàn)發生(shēng),而不(bù)是(shì)等待第三方←β的(de)通(tōng)知(zhī)。
兵(bīng)貴神速
評判一(yī)個(gè)事(shì)件®↓₩(jiàn)響應團隊如(rú)何的(de)問(wèn)題之一(yī)就(jiù)是(shì¶ )“檢測、響應并解決事(shì)件(jiàn)的(de)速度>±有(yǒu)多(duō)快(kuài)”。對(duì)組織而言,衡量解決事(shì)件(jià₽€n)的(de)速度有(yǒu)三個(gè)關鍵時(shí)→間(jiān)點:
-
從(cóng)被攻擊到(dào)檢測 ε≤¶
-
檢測到(dào)抑制(zhì)
-
抑制(zhì)到(dào)修複
調查連續兩年(nián)發現(xiàn),安全團隊在響應方面進步了(le)。盡管發Ω現(xiàn)的(de)時(shí)間(jiān)依'←然沒有(yǒu)太多(duō)變化(hu≈✔>£à)(大(dà)約53%的(de)事(shì)件(jiàn)在24小(xiǎo)♥λ₩Ω時(shí)內(nèi)被檢測到(dào)),67%的(≤$→de)受訪人(rén)表示他(tā)們在24小(x✘✔↔δiǎo)時(shí)內(nèi)就(jiù)從(cóng)檢測狀∏♣ §态轉移到(dào)了(le)抑制(zhì)狀态——相(xiàng)比前一(yī)年€β<¶(nián)提升了(le)6%。考慮到(dào)這(zhè)一(yī)∞§步在整個(gè)事(shì)件(jiàn)響應周期中的(de)重要(yào)性,這(zhè)是(sγ•hì)一(yī)個(gè)很(hěn)大(dà)的(de)進步。
在修複方面,報(bào)告發現(xiàn)受訪者相(xi≠≤€àng)比前一(yī)年(nián)需要(yào)更多(duō)的(de)時(shí)間(jiān $β)。不(bù)過,這(zhè)未必是(shì)一(yī)件(ji&""àn)壞事(shì)。89%的(de)修複都(dōu)在30天內(≠↓nèi)處理(lǐ)完成。盡管這(zhè§)個(gè)時(shí)間(jiān)看(kàn)上(shàn "g)去(qù)很(hěn)長(cháng)λ™≠",但(dàn)是(shì)鑒于事(shì)件©×(jiàn)本身(shēn)的(de)嚴重程度以及需要(yào)恢複的(de)數(shù)™∏據量,一(yī)個(gè)月(yuè)其←σ≤"實已經很(hěn)快(kuài)了(le)。修複會(huì)是(sh∏←©☆ì)一(yī)個(gè)很(hěn)複雜(zá)的(de)問(wèn)題,相(xi₽ àng)比速度,最好(hǎo)犧牲一(yī)點λ≥時(shí)間(jiān)來(lái)采取最佳方♠Ω案。
求人(rén)不(bù)如(rú)求己
如(rú)果說(shuō)一(yī)個(gè)組織依靠第三方進行(xíng)檢測,那♠↑≈(nà)就(jiù)會(huì)在可(kě)見<§↔(jiàn)性能(néng)力上(shàng)産生(shēng)缺口,甚™∑¥至無法準确檢測到(dào)一(yī)個(gè)安全>∞事(shì)件(jiàn)。這(zhè)些(xiē)狀況對(φ✘€∞duì)組織而言并不(bù)理(lǐ)想,卻為(wèi)攻擊×≈>者所喜聞樂(yuè)見(jiàn)。不(bù)過所幸,64∑©↕€%的(de)受訪者表示,超過51%的(de)安全事(shì)件(jiàn)是(←πshì)由他(tā)們內(nèi)部檢測發現(xiàn∑π↓)的(de),而非第三方發現(xiàn)通(tōng)知(zhī)。這(zhè)一(yī)數(s¥ε hù)據展現(xiàn)了(le)組織是(shì)否有(yǒu)能(nén♣≠g)力追蹤他(tā)們自(zì)己的(de)事(shì)件(jiàn)響應活™≤動以及表現(xiàn)。另外(wài),“事(shì)件(jiàn)到(dào)洩露”的(de)轉®¥∏換率越低(dī),安全團隊就(jiù)有(yǒu)越多(duō)的(de)時(shí)間(jiā✘&n)專注在主動防禦或者檢測方式上(shàng)。
尚需努力的(de)地(dì)方
SANS的(de)2019年(nián)度事(shì)件(ji"∞∏¥àn)響應報(bào)告中也(yě)标出了(le)一(yī)些(xiē)值得(de)α↓↑¶關注的(de)問(wèn)題,組織和(hé)機(jī)構↔♣可(kě)以從(cóng)這(zhè)些(xiē)地(dì)方開(kāi)始改進。
從(cóng)多(duō)數(shù)據組發展可(kě)見(jiàn)性
根據報(bào)告,組織和(hé)機(jī)構對(duì)使用(yòng)安全設備和(✘÷hé)主機(jī)數(shù)據去(qù)進行(xíngβ¶)安全事(shì)件(jiàn)和(hé)潛在洩露Ω→'λ的(de)方式,表達了(le)明(míng)确的(de)興趣。SIEM産品可(kě)以讓λ∞≥安全團隊輕松獲取大(dà)部分(fēn)數(shù)據,包括短(duǎn)期™Ω¥的(de)曆史事(shì)件(jiàn)記錄、來(lái)自(z€£σì)安全設備的(de)相(xiàng)關告警,以及受攻擊系統的(de)活動數(shù)據。另一®¶¶≈(yī)方面,受訪者表示在收集網絡活動中生(shēng)成×δσ₽的(de)一(yī)些(xiē)事(shì)件(✔'∏φjiàn)、數(shù)據尤為(wèi)困難,因為(wèi)™±€對(duì)于需要(yào)大(dà)量的(de)網絡探針,•≥>±同時(shí)又(yòu)會(huì)受到(dào)存儲的(de)限制(zhì)。因此,類似于ID¥☆"S、IPS、防火(huǒ)牆、日(rì)志(zhì)分(fēn)析,甚至SIEM之類的(de★↑)安全設備是(shì)集成得(de)最多(duō)的(©λλ♥de)解決方案;超過六成的(de)受訪者表示這(zhè)些(xiē)産品都(dōu)被用(yòng≠€)于識别受影(yǐng)響的(de)系統。
如(rú)果一(yī)個(gè)組織隻依賴于從(cóng)一(y©♦ī)兩個(gè)數(shù)據來(lái)源來(lái)對(duì)事(shì)件(jλσ±iàn)進行(xíng)檢測和(hé)響應,那(nà)就(j♠<ε÷iù)很(hěn)難說(shuō)清楚結論是β♦(shì)否正确。一(yī)般而言,響應團隊往往會(huì)使用(yòng "÷≠)所有(yǒu)可(kě)以得(de)到(∞£δdào)的(de)數(shù)據來(lái)α§完善分(fēn)析;這(zhè)些(xiē)數(shù)據包括任意系 ☆統的(de)日(rì)志(zhì)、網絡流量等等。不(bù' ♣≠)過,對(duì)于組織而言,集成一(yī)些(xiē)通(tōng)知(zhī)型的(de<$)檢測能(néng)力也(yě)會(huì)有(yǒu)不(bù)錯(cuò)的(de)效果¥≠ε→,比如(rú)文(wén)件(jiàn)完整性檢測、行(↑≈δ★xíng)為(wèi)監測等。但(dàn)是(shì)↔ α,這(zhè)兩個(gè)技(jì)術(shù)隻有®φ$(yǒu)16%的(de)受訪者集成到(dào)了(le)自(zìφ∏&)己的(de)解決方案中,比例相(xiàng)←♣→ 當低(dī)。
另外(wài),組織和(hé)機(j∏♠≥ ī)構還(hái)需要(yào)采用(yòng)多(duō)種自±≥₽(zì)動化(huà)和(hé)集成能(néng)力。由于自(zì)≥βλ動化(huà)可(kě)以讓組織進一(yī)步集成更多(duō)工(gōng)γ 具和(hé)自(zì)動化(huà)流程,✘σ☆這(zhè)項能(néng)力能(néngφ↓)為(wèi)組織帶來(lái)極大(dà)的(de)受益。
通(tōng)過響應能(néng)力以史為(wèi)鏡
使用(yòng)并追蹤事(shì)件(jiàn)響應♦↓儀表圖是(shì)提升效率的(de)一(yī)大(dà)利器(qì)€。儀表可(kě)以幫助顯示團隊的(de)處理 ✘☆ (lǐ)能(néng)力高(gāo)低(dī)、低(dī)效≠₹ ♥的(de)進程或者一(yī)些(xiē)“效果拔群”的(de)方式。
在2019年(nián)的(de)調查中,大(dà)約26%的(de)受訪人(rén)指₽←出,他(tā)們并未評估自(zì)己事(shì)件(jiàn)響應流程的(de)效率或者成<≈☆∑熟度;相(xiàng)對(duì)而言72%的(de)受訪人(rén)表示他(tā)們有(yǒuγ™÷)一(yī)定的(de)衡量标準,無論是(shì)他(tā)們內(nèi)部 ↔¥✔的(de)評判标準,或者是(shì)使用(yòng)一(yī)些(xiē)如(φ≥♣rú)NIST的(de)公開(kāi)指标。毫無疑問(wèn),那(nà)'π÷些(xiē)會(huì)反複追蹤并分(fēn)析評估自(zì)己表<₽♦∏現(xiàn)的(de)團隊,會(huì)£φ随著(zhe)時(shí)間(jiān)的(de¥)推移越來(lái)越高(gāo)效。
通(tōng)過從(cóng)過去(qù)€←™≥的(de)事(shì)件(jiàn)中汲取經驗教訓,組織可(kě)以了(le ≥∑')解之前攻擊者的(de)技(jì)術(shù)和(hé)策略,從(cóng)而避免同樣的(de×±)事(shì)情再次發生(shēng)。知(z≤←hī)識和(hé)經驗的(de)積累能(néng)進一(yī)步提升組織的(de)≠>φ↑安全能(néng)力。
結論
正如(rú)SANS的(de)事(s¥∑ hì)件(jiàn)響應報(bào)告标題“改變之時(shí)已至”,攻擊者在改進自(↕γ zì)己的(de)技(jì)術(shù),并将自(zì)己$™ ÷的(de)攻擊變得(de)更為(wèi)α•σ₽複雜(zá)。組織和(hé)機(jī)構γγ不(bù)該像鴕鳥一(yī)樣回避問(wèn)題:比如(rú)缺少₽ε(shǎo)人(rén)員(yuán)、推遲甚至取消對(duì)自(z≥✔ì)身(shēn)安全檢測響應能(néng)力有(yǒu)益的(de)改進機(jī&✘)會(huì)等。缺少(shǎo)管理(lǐ)εα☆ε層的(de)介入會(huì)使得(de)響應團隊孤軍奮戰。更糟的(de)是(∏≤shì),這(zhè)會(huì)導緻企Ω☆業(yè)內(nèi)部“甩鍋”文(wén)化→≈(huà)盛行(xíng)。
聲明(míng):本文(wén)來(lái)自(zì)數(shù)世咨詢,版權歸作($>zuò)者所有(yǒu)。文(wén)章(zhāng)內(nèi)σ↓ε容僅代表作(zuò)者獨立觀點,不(bù)代表海(hǎi&©)博科(kē)技(jì)立場(chǎng),轉載目的(de)在于傳遞更多(>β©duō)信息。
