本文来自微信公众号“网络安全和信息化”,作者:于金科、赵长林。
如今,企业面对安全问题不是“会不会受到攻击”,而是“在什么时候以及如何受到攻击”。在预见这些后果的过程中,安全运营中心(SOC)正在转变为一种检测和响应的组织架构。
企业如何衡量安全运营中心的检测和响应的效率和价值?当然是通过实施安全措施的速度和有效性。因此,在看到这一转变的同时现在也看到安全企业组建了预测团队,其目的是积极主动地缩短检测和响应时间并减少风险。在安全运营的背景下,预测团队利用其安全基础架构中内部和外部的有关威胁和事件数据进行背景分析,并在整个过程中更加主动。数据驱动可以使防御者锁定潜在攻击,理解它对企业的影响,并预防或减轻风险。安全预测团队可能重视诸多因素,但其中两个首要的方面就是威胁的预防和搜索。
主动威胁防御意味着可以预测企业环境中可能要发生什么,通过将威胁情报和数据发送给不同系统实施统一防御,可以快速遏制和防止其再次发生。这可以由揭露恶意行为的内部数据而引发,也可以由对过去事件的分析而实现。
假设看到一个在入侵防御系统中没有见到过的IP地址,通过查询其他系统,查看企业的其他安全工具是否检测到与该IP地址的通信,由于没有事件发生前因后果的背景,无法全面了解发生了什么问题。但通过查看外部的威胁情报,可以发现该可疑的IP地址与某个特定的恶意黑客相关联,这样可以重点关注这个黑客,了解到与此黑客有关的大量的其他IP地址也被搜索和阻止。通过深入挖掘其他威胁情报源,就可能在其他工具中发现其他相关的风险和威胁,从而提前主动、全面地快速做出响应。进而,将新情报整合到企业的防御策略中,就可以主动地强化防御,并防止由同样的恶意黑客发动的攻击。前瞻性的威胁防御取决于是否能够通过理解事件背景和全面快速地增强防御。
可以预先限制范围并防止未来的攻击,自动向防御设施发送情报,以生成和应用更新的策略和规则,即使环境中尚未出现其他迹象,不能仅仅阻止某一个IP地址或是等到恶意攻击者再次“造访”。
主动搜寻威胁应在内部警告还没有被触发之前,就从外部的信息源(报告、新闻等)开始实施。通过利用外部的数据和信息,搜寻企业环境中的表明可能发生攻击的相关迹象。例如,可能了解到恶意软件正被用来针对企业所属行业,所以就去访问政府、行业、开源的或商业的情报源以及相关的网络安全参考框架,进而了解技术细节、潜在的攻击迹象以及可以在企业环境中搜寻的可能的相关事件。根据企业面临的潜在风险,利用这些情报来主动地阻止企业防御基础设施中存在的那些不安全因素。此时,不妨展开调查,假设某种恶意威胁已经渗透进入了企业网络,并着手测试自己的假设。在确认恶意活动后,可以采取减轻风险或防止攻击的适当措施。
通过手动筛查日志并决定哪些事件相关,并将日志与海量的外部威胁情报和其他内部数据相关联进而确定恶意活动,是极其耗时的。可以首先针对高价值资源来追踪恶意攻击者,借助能够对内外部数据进行汇集、关联和标准化的平台,挖掘所有可用的丰富数据,获得问题或安全威胁的整体状况。可以建立一种数据驱动方案,它可由链接到过往事件的新情报而触发启动,或者由安全团队正在主动搜寻的新威胁情报而触发。在确定了恶意活动范围和所有受影响或有可能被攻击的目标系统之后,就能够精心策划和设计全面的响应。可以在多系统之间执行适当的相关操作,并且能够将有关数据立即自动发送到企业防御体系中,从而实现更快的检测和响应。而且,数据和情报应随时被发送到情报中心,以确保企业的防护能力和安全状况随着时间的推移而改善。