文章與消息

“零信任”安全架構將成為網路安全流行框架之一

零信任網路(亦稱零信任架構)模型是約翰·金德維格( John Kindervag )於2010年建立的,當時他還是研究機構Forrester的首席分析師。

如今7年過去了,隨著零信任的支撐技術逐漸成為主流,隨著防護企業系統及資料安全的壓力越來越大,隨著網路攻擊演變得更加複雜高端,零信任模型也在CIO、CISO和其他企業高管中間愈加流行了。Forrester認為,3年內零信任就將成為網路安全流行框架之一。

零信任是什麼?

零信任是一個安全概念,中心思想是企業不應自動信任內部或外部的任何人/事/物,應在授權前對任何試圖接入企業系統的人/事/物進行驗證。

簡言之,零信任的策略就是不相信任何人。除非網路明確知道接入者的身份,否則任誰都別想進入。什麼IP位址、主機之類的,不知道使用者身份或者不清楚授權途徑的,統統不放進來。

為什麼要用零信任?可以看看下面一組統計資料:

美國網路安全公司 Cybersecurity Ventures 發佈的《2017年度網路犯罪報告》預測,到2021年,網路犯罪所致全球經濟損失總額將達6萬億美元/年,比2015年的3萬億美元足足翻了一倍。

同時,波耐蒙研究所在IBM資助下所做的《2017資料洩露研究》發現,資料洩露事件所致平均損失為362萬美元。儘管該數字比上一年有所下降,但資料洩露事件的平均規模卻上升了1.8%,達到了平均每起事件洩露2.4條記錄之多。

而且,這些資料還是在公司企業對網路安全工作投入越來越多的情況下取得的。科技研究與諮詢公司Gartner將2017年全球資訊安全產品及服務開支標定在864億美元上,比2016年增長了7%。這家公司還預計,到2018年,資訊安全開支會達到930美元。

企業高管們認識到了現有安全方法並不足以應對愈趨嚴峻的安全態勢,他們需要更好的東西,而零信任模型恰好就能得到最好的結果。

為新世界而生的安全

零信任模型基本上打破了舊式邊界防護思維。舊有思維專注防禦邊界,假定已經在邊界內的任何事物都不會造成威脅,因而邊界內部事物基本暢通無阻,全都擁有存取權限。

但安全專家和技術專家並不認同邊界防禦的效果。他們指出,最嚴重的幾起資料洩露事件都是因為駭客進入公司防火牆之後基本沒遇到什麼阻礙就能在內部系統中來去自如。

IT系統的一個固有問題在於,太多東西可以經由默認連接四處巡遊。人們的信任太過寬泛,這是互聯網得以騰飛的原因所在,因為每個人都可以在任何時間共用任意東西。但這也是互聯網安全的癥結所在:如果你信任所有東西,你就沒機會保住任何東西的安全。

駭客和惡意威脅並非驅動零信任模型的唯一因素。

今天的企業IT部門為什麼需要新安全思維?很大程度上是因為邊界已經不存在了。純內部系統組成的企業資料中心不再存在,企業應用一部分在辦公樓裡,一部分在雲端——分佈各地的雇員、合作夥伴和客戶通過各種各樣的設備訪問雲端應用。

所有這些宏觀變化都推動了零信任這一新模型的流行。

面對工作流的移動化和雲端化,我們難免捫心自問:“新形勢下我們該如何保護自身安全呢?”新世界裡,防火牆已經逼近到了需要保護的資產身邊。

零信任背後的技術

在各種各樣的現有技術和監管過程支撐之下,零信任方法才得以完成保護企業IT環境的使命。

它需要企業根據使用者、使用者所處位置和其他資料等條件,利用微分隔和細細微性邊界規則,來確定是否信任請求企業特定範圍訪問權的使用者/主機/應用。

首先,要弄清楚用戶身份,確保用戶真的是他/她所聲稱的那個人;然後,要保證使用者所用終端是安全終端,或者該終端處在安全狀態;最後,還要有個條件策略,指定哪些人能訪問哪些東西。

零信任依靠多因數身份認證、身份與訪問管理(IAM)、編排、分析、加密、安全評級和檔案系統許可權等技術來做上述工作。最小許可權原則也是零信任倚賴的監管策略之一,也就是只賦予用戶完成特定工作所需的最小存取權限。

基本上,零信任就是公司企業收回安全戰場控制權,在各部門應用網路分隔和下一代防火牆,控制網路接入的身份、物件、地點和時間,是從內而外地施行控制,而不是由外而內。

現今的大部分IT場景中,零信任不僅僅是技術,還有關思維和過程。

如何實現零信任

部分企業的IT部門已經實現了零信任的很多方面。他們通常已經部署了多因數身份驗證、IAM和許可權管理。其環境中也越來越多地實現了微分隔。

然而,建立零信任環境不僅僅是實現這些單個技術,而是應用這些技術來施行“無法證明可被信任即無法獲得許可權”的理念。

企業得從戰略上確定哪些技術有助實現這一理念,然後再去買入這些技術。

在技術的應用上最忌諱病急亂投醫,與其期待亂買來的藥能治好病,不如先好好診斷診斷,弄清楚自身情況再採用相應的技術(藥)。

轉向零信任模型不是一朝一夕之功,也不是件容易的事兒,尤其是在有不適應該新模型的遺留系統的時候。

很多公司都在向雲端遷移,這是個全新的環境,很適合應用零信任模型,可以從雲端開始零信任旅程。公司企業,尤其是有著複雜IT環境和大量遺留系統的大型企業,應將零信任遷移看做是多階段跨年度的一項工程。

零信任遷移中的另一項挑戰,是讓員工具備該新理念的思維方式。

比較不幸的是,大多數企業IT專家接受的教育或培訓讓他們默認企業環境是可信的,他們被教導得想當然地認為防火牆能將壞人擋在外面。人們需要調整自己的思維模式,要清楚當前態勢下壞人可能早就在自家環境中了。

公司企業還需認識到,零信任與其他成功的IT或安全原則一樣,需要長期堅守,不斷維護,而且零信任工作中的某些部分會更具挑戰性。

比如說,微分隔工作中,安全/IT團隊就必須確保配置修改是恰當的,並更新不停改變的IP資料以保證員工工作或企業交易所需訪問不被中斷。否則,企業可能會面臨工作阻塞問題。

很多公司都會想,遭遇惡意軟體導致業務中斷,和配置錯誤導致停工一天,本質上都不是什麼好事。微分隔方法所需的持續維護可能會帶來很多臨時應急的措施,或許會讓網路更加脆弱。

在遺留系統和現有環境中整體應用零信任模型所導致的複雜性,表明公司企業真的沒有做好完全實現該模型的準備。

因此,公司企業最好是從設計上就打造零信任,而不是在原有基礎上修修補補。換句話說,應將零信任模型作為公司整體數位轉型戰略的一部分,實現那些有助於在雲遷移過程中達成零信任的技術,淘汰掉那些老舊的遺留系統。

而且,CISO、CIO和其他高管應參與進轉向零信任的過程中,這樣他們才能安排過程中各項事務的優先順序,確定哪些動作應儘快完成,而哪些部分可以先等等。

零信任遷移基本等同基礎設施轉型。資訊安全並沒有跟上數位轉型/現代化環境的腳步。但企業必須轉換安全管理的方式。想要整體安全,想要有安全準備度,就需要換一種思維方式

凱信資訊透過CASymantec 解決方案,協助企業建構零信任架構

無文件攻擊的興起與應對之道

無文件攻擊的興起與應對之道

無文件攻擊比基於惡意軟體的傳統威脅更容易實施也更有效,因而給公司企業的安全防護帶來了更大的挑戰。

網路罪犯自然會尋找阻力最小的途徑實施攻擊,這也正是越來越多的網路罪犯採用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應用越來越得心應手,企業雇員越來越依賴移動設備和雲來開展工作,無文件攻擊的威脅也越來越大了。

無文件攻擊也就是非惡意軟體攻擊,是一種可以讓攻擊者省去傳統惡意軟體攻擊所需步驟的攻擊手法。他們不用建立攻擊載荷,只需簡單地利用可信程式獲取記憶體存取即可。2017年,利用PowerShell或WMI的無文件攻擊占了全年攻擊總數的52%

儘管如此,企業依然沒有對無文件攻擊投以足夠的關注。大多數人對網路安全行業的認知依然停留在打了多年交道的傳統攻擊方法上。

企業是時候進一步瞭解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊,為什麼無文件攻擊會呈增多趨勢,以及可以採取哪些步驟做好防護。

現代無文件攻擊的進化史

 無文件攻擊並不是新鮮事物,但它們隨著時間流逝而發展變化。

 今天的無文件攻擊遠不止“無文件”這麼簡單,要說無文件的話,十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應用了無文件的概念,藏身於記憶體之中;但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷,這些載荷也往往貌似合法,因而非常難以檢測。

 無文件惡意軟體攻擊的增長,源于其易用性和終端檢測及回應(EDR)工具的改進。

網路中真正令企業傷筋動骨的,是用戶名和密碼被盜,而不是擺了他們一道的惡意軟體本身。

 攻擊者使用域帳戶和IP管理員密碼在目標網路內橫向移動並盜取資訊。他們的活動形式多樣,大多數情況下獲取某使用者的 Office 365 或AWS登入帳戶更有價值。

 某種程度上,所有攻擊者都必須先進入網路或系統,也就是說,憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選,因為沒人對它們多加關注,它們也沒被指派給具體個人。這基本上是種常態,畢竟這麼做可以讓管理工作更簡單些。服務帳戶憑證同樣脆弱。攻擊者一旦接入系統,就會用提權技術提升此類帳戶的許可權。

為什麼會暴露在風險之中

公司企業沒掌握自身IT系統複雜性,未能完全監視自家整個生態系統,是令自身暴露在風險之中的一大原因。

 很多企業都被大量資料淹沒,且無法將帳戶和用戶行為整合到一起以供分析。而只要無法跟蹤,也就無法知道哪個帳戶存取了哪些資源。

 如果企業員工還沒採用基本安全操作,那麼所面臨的威脅還會更大。網路釣魚攻擊就是用於獲取憑證的一大流行方式。

 駭客會對員工發起針對性攻擊,尋求其亞馬遜、Gmail、PayPal和其他常見服務的登入憑證。他們知道人們常會使用同一對用戶名和密碼登入不同的服務。

 一旦駭客入手了員工的個人帳戶,就可以利用該帳戶嘗試進入其企業網路。很多攻擊者都會對低級別員工下手,以期通過監視其郵件活動來分析出高級別員工的帳戶資訊。

威脅蓄勢待發

 隨著員工越來越移動化和雲端化,無文件攻擊也會見長。遠端辦公極大地增加了對基礎設施的風險。從外面帶進來的設備都應該在登入本地網路之前再進行一次鏡像和掃描。

 移動設備在醫療保健行業所占比重越來越大,各行各業也都在朝著雲端邁進。但像雲這樣的環境,CISO對誰從哪兒登入的系統到底瞭解多少呢?大部分人都假定雲是安全的,但雲上包含有大量早已棄用理應註銷的憑證,這些憑證可都是攻擊者觸手可得的合法憑證。

 鑒於受經濟利益驅動的攻擊者將一直存在,未來將有更多威脅對企業造成損害幾乎是肯定的。殘酷的現實是,我們將見證破壞性攻擊的增長。

我們能做些什麼?

 防止網路釣魚應從員工培訓做起。滲透測試是個不錯的培訓辦法,可以增強員工對網路釣魚的免疫力,不至於一被釣魚就上鉤。還應設立暢通的員工報告管道,讓員工只要發現可疑跡象就能快速上報。

 除此之外,公司企業還應緊密關注其生態系統中的各種活動。

 可以引入工具集,找出公司整個基礎設施上的所有憑證。結果可能會令人大吃一驚,基礎設施上流轉的憑證數量往往比員工總數多得多。

 評估了憑證數量之後,公司安全團隊還應深挖這些憑證的使用情況。比如都是誰在哪裡使用了這些憑證,是怎麼使用的。正常登入地點之外的憑證使用都應觸發警報。大型企業或跨國企業這種基礎設施規模龐大的機構組織,有必要引入自動化技術進行憑證安全管理工作。

 傳統身份與存取管理方法也可以借鑒一二,而如果企業夠成熟,可以考慮採納能自動化存取管理的工具集。這些工具在幫助企業掌握網路登入者的身份、位置、登入方法和所做動作上應該會很有幫助。

 

凱信資訊提供企業帳號身份管理(Identity Managment),能快速盤點企業相關帳號及權限,以及特權帳號密碼管理(Privileged Access Management)能針對特權用戶的帳號密碼進行控管,並追查相關帳戶的使用活動(SIEM / UBA - User Behavior Analytics),進而分析帳號是否被盗用。

IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

IBM QRadar SIEM 名列2017Gartner安全資訊與事件管理領導者

2017-12-14 22:26經濟日報 蔡尚勳

在全球著名研究機構Gartner 近日最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中,IBM 再度名列「領導者(Leader)」,這已是IBM QRadar 連續第九年在Gartner 的SIEM 魔力象限獲選為領導者。

Gartner 定義SIEM 市場需求為:即時分析事件資料,以便早期偵測蓄意攻擊與資料洩露,並且收集、儲存、分析、調查、回報事件資料,提供事件回應、鑑識、合規所用。

IBM QRadar 提供多項進階功能,包括使用者行為分析(User Behavior Analytics, UBA) 、網路活動與異常檢測分析(Network Insights)、機器學習(Machine Learning)分析應用、認知安全(Watson CyberSecurity)應用等。並且透過QRadar App Exchange,大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合IBM X-Force 威脅情資,並納入IBM Resilient 安全事件回應平台,將偵測與事後回應工作密切結合,提供完整的處理機制。

Gartner 評鑑IBM 的SIEM 旗艦產品QRadar 的優勢在於:

1.支援中大型企業所需的SIEM核心能力,並提供一套能涵蓋多種安全監控與維運技術的整合平台。

2.提供能支援多重環境(on-premises與IaaS雲端) 監控的靈活架構。

3.QRadar App Exchange 可將多方內容與資源整合進入QRadar Console 中控台,提升使用體驗。

4.免費的使用者行為分析(UBA)與機器學習(Machine Learning) 應用,有助於企業進行進階的分析與針對使用者行為的監控。

5.整合並關聯多重的網路事件來源,提供單一視圖。

Gartner2017

Gartner 的各項Use Case 評比當中,QRadar 在二項指標當中都是第一名:

1. Advanced Threat Detection Use Case   (進階威脅偵測)

2. Forensics and Incident Response Use Case  (鑑識與事件回應)

IBM QRadar 為「安全免疫系統」的指揮中樞

辨識威脅行為當下提出告警,已是SIEM基本功能。目前企業更關注於聯合防禦機制,也就是在判斷威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。

IBM資訊安全事業部協理金天威表示,為了協助企業建立資安關鍵的預防、偵測、回應能力,IBM提出「安全免疫系統」架構,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,以IBM QRadar作為核心中樞,建置資安智慧平台執行大數據分析,提供網路、使用者、資料(庫)及應用程式等活動的深度可視性,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,協助關鍵問題答案、更有效管理資安威脅。

SIEM 未來發展在3C

全球資安攻擊事件層出不窮,新型態的網路攻擊日新月異,加上全球資安人才短缺日益嚴重,對企業資安整體策略帶來重大挑戰。從SIEM 解決方案持續演進的趨勢來看,以下三點是關鍵方向,亦為IBM整體安全架構及IBM QRadar 發展的重點:

1.Cloud 雲端安全— 利用雲端資源提供簡單、隨時可得的安全防護。

2.Collaboration協同合作— 分享與善用威脅情資、分析與最佳實踐,減輕人才缺乏的壓力。

3.Cognitive認知運算/人工智慧— 面對資安資料爆炸性成長與資安知識落差,運用智慧達成自動化,做出更好、更快的決策。

已知漏洞才是遭駭大宗 資安莫再捨薪輿而逐秋毫

零時差攻擊沒你想的普遍 快調整安全弱點管理優先順序

已知漏洞才是遭駭大宗 資安莫再捨薪輿而逐秋毫

文章來源:網管人

Craig Lawson、Kasey Panetta
 
去(2017)年以來WannaCry和Petya勒索病毒攻擊事件肆虐全球,Equifax資料外洩事件也引發極大關注。要吸引媒體注意很容易,但這不應該是安全專業人士最應該擔心的威脅。

安全漏洞遭到利用,至今仍是造成大多數資安缺口的根本原因,絕大多數的資料外洩事件都起源於漏洞遭到駭客利用,其中大部分的攻擊是來自於已知的漏洞,而非零時差攻擊(Zero Day Attack)。

過去10年間,零時差漏洞在所有漏洞佔比中只有約0.4%,因偵測這類漏洞所花費的金錢,和它們真正產生的風險相比實在不成比例。

相較之下,其實有大量的資料外洩與病毒感染事件,都來自少數不斷被重複利用的已知漏洞。

這個道理就像人們總是擔心大白鯊的攻擊,而忽略了身形嬌小的蚊子一樣,蚊子每年都會害死數百萬人,而大白鯊每年殺死的人數卻跟遭受雷擊身亡的數字差不多。零時差攻擊確實存在,但對大多數的組織而言卻不算是最大的威脅。

漏洞管理最大的問題在於,組織未能把修正和彌補被網路威脅來源鎖定的漏洞列為優先工作項目。

組織必須針對最大的安全威脅,調整安全漏洞管理的優先順序。雖然Gartner觀察到安全威脅的手法正不斷進步,但大部分案例中,威脅來源都不會使用過於複雜的工具來進行攻擊,相反地,它們經常都是利用已知漏洞進行攻擊。

提升安全性的方法並不只有投資新技術,正如近日大量出現的全球性資安事件所揭示的,更重要的是要打好基本功。組織只要加強一些基本的安全及風險相關網路使用習慣(hygiene),像是威脅導向漏洞管理、集中式日誌管理、內網隔離(Internal Network Segmentation)、備份與系統強化,就能大幅改善安全狀態。

Gartner認為,在2020年底之前,遭入侵的安全漏洞中仍有99%都是安全及IT專業人員在事件發生時已知的問題。若能先處理好入侵和資料遺失的最主要原因,就能打好基礎來處理更難的問題。同時也不能停下推動改善漏洞管理專案的腳步,但更重要的是藉由阻擋最大的風險,也就是透過已知的公開漏洞來減少攻擊面(Attack Surface)。

過去10年間,儘管資料外洩事件的數量增加而且更多的威脅出現,但遭到入侵的漏洞數量其實呈現逐年持平狀態。就本質上來說,有更多的安全威脅在利用同樣的少部分漏洞。

組織的優先要務,就是把工作重點放在如何修補那些已知的公開漏洞,或具備能勝任相關修補任務的能力。這種方法能有效降低或預防風險,但目前只有極少數組織做到。這樣的工作優先順序,能降低需要處理的漏洞數量,代表企業可以花更多精力處理更少量的安全漏洞,為組織的安全性狀態帶來更大的好處。

<本文作者Craig Lawson為Gartner研究副總裁、Kasey Panetta為Gartner品牌內容經理。>

SOC的進擊:“網路威脅狩獵”

文章來源: MottoIN

概況

許多組織已經靈敏的意識到,網路威脅狩獵“ cyber threat hunting”是現代SOC演變的下一個層級,用以打擊日益複雜的攻擊威脅。

威脅狩獵是指採用人工分析和機器輔助的方法迢,針對網路和資料進行主動的和反復的搜索,從而檢測出逃避現有的安全防禦措施的高級持續性威脅(即APT攻擊)。

威脅狩獵是一個新興的概念,目前國外已有一些公司和相關產品推向市場。

威脅狩獵的熟悉程度

sqlrl公司在2017年的一份調查報告中顯示,60%的人對該話題有一定的瞭解/非常瞭解,25%的人知道威脅狩獵的概念。

SOC ThreatHunting 1

目前SOCs面臨的挑戰主要有:無法檢測到高級威脅(隱藏的、未知的、新興的)、缺乏安全專家來減輕這類威脅、回應緩慢。

針對調查結果進行統計,發現幾乎一半的威脅(占比44%)沒有被自動化安全工具檢測到。調查物件回復的數位從個位數到90%以上不等,這說明目前自動化工具檢測的效果並不理想。

受訪者一致認為,他們的組織在過去一年中面臨著更多的安全威脅,其中82%的受訪者表示他們組織內部發生威脅的頻率明顯提升了,此外,45%的受訪者表示他們在過去一年面臨的威脅量至少有之前的三倍以上。

漏洞掃描與分析

SOC ThreatHunting 2

超過75%的受訪者表示,漏洞掃描和CVE漏洞修復對限制潛在的威脅發生很有幫助。這個結果支持了先前提出的問題,為了達到安全目的,需要對脆弱點進行分析和加固。

SOC ThreatHunting 3

SOC威脅管理成熟度

當被問及他們組織的威脅狩獵能力的狀態時,只有6%的人相信他們的管理處于前沿水準,30%的人認為他們是先進的。近三分之二的受訪者表示,他們的組織僅維持著最低的安全基線水準,面對新興的威脅時,情況更糟糕。雖然新興和先進的威脅似乎時SOC的一大挑戰,但很少有人採取實際行動來解決這些問題。

SOC ThreatHunting 4

威脅狩獵的資源投入

當被問及組織針對先進的威脅在安全檢測和防禦方面的資源投入時,答案明顯不同。受訪者回復的平均值為550,000美元,有的金額高達68萬美元。

SOC ThreatHunting 5

SoC團隊人員中,從事威脅狩獵的人員占比低於20%,根據受訪者的回復,平均值大概為14%

SOC ThreatHunting 6

攻擊者在目標網路上停留的平均時間為40天,而40%的網路威脅會逃過SOC的檢測。

SOC ThreatHunting 7

威脅帶來的資金損失

五分之二的受訪者表示,一次安全事件可能會給他們的組織帶來高達100萬美元的資金損失。幾乎一半的受訪者表示不能確定一個未被發現的威脅會給組織帶來什麼影響。這組數字表明人們缺乏對於未被發現的威脅會造成潛在損失的意識。

SOC ThreatHunting 8

威脅狩獵的工作滿意度

整體而言,有威脅狩獵崗位的SOC與沒有威脅狩獵崗位的SOC在對威脅狩獵工作的滿意度上有些許差別,滿意度分為讚賞、認可、有價值三種,情況如下:

SOC ThreatHunting 9

受訪者一致表示,他們願意在SOC的工作發揮具有前瞻性的、更積極主動的安全能力。僅95%的受訪者表示,無論從本人還是從組織的角度出發,增強威脅檢測能力都是很重要的。

SOC ThreatHunting 10

威脅狩獵的使用情況

僅三分之二的受訪者表示,目前他們SOC團隊的安全工程師沒有使用威脅狩獵平臺,儘管他們一致認為識別新型的、先進的威脅是重要的,但很多組織還沒有實際行動。

超過四分之三(76%)的受訪者表示,他們希望可以通過購買威脅狩獵平臺來提升組織的安全能力。受訪者認為他們沒有足夠的時間或預算來開發一個威脅狩獵工具。

SOC ThreatHunting 11

使用威脅狩獵平臺存在的障礙

預算不足是大多數SOCs平臺沒有使用威脅狩獵工具的原因,占比35%左右;第二大阻礙因素是缺乏威脅狩獵相關的培訓,占比20%左右。這就為威脅狩獵平臺提出了更高的要求,他們需要通過促進和提高與SOC員工之間的交流,並充分地證明自己的價值。

SOC ThreatHunting 12

是否使用威脅狩獵平臺對檢測調查威脅所需花費的時間的影響是明顯的。

沒有威脅狩獵平臺的情況下,檢測威脅的平均時間是38天,調查威脅的平均時間是26天;

使用了威脅狩獵平臺的情況下,檢測威脅的平均時間是15天,調查威脅的平均時間是14天,前者高了61%,後者提高了42%

SOC ThreatHunting 13

威脅狩獵的益處

使用威脅狩獵平臺的益處包括:提高了先進威脅的檢測能力、增加了尋找威脅的新方式、發現了他們之前沒有發現過的威脅、減少了調查時間等。

威脅狩獵平臺最吸引人的特點是調查取證和自動分析(使用機器學習方法來進行自動決策)。

SOC ThreatHunting 14

調查方法和統計物件

這份報告的資料來源是一個線上調查,覆蓋了330+網路安全專家和IT專業人士。受訪者的身份有證券分析師、IT經歷、CISOs。受訪者所處的行業不同、組織規模也不同,涉及金融服務、電信、醫療保健等。

SOC ThreatHunting 15

認識威脅

當今的網路攻擊變的更加複雜,攻擊手段和方法越來越難檢測。為了成功入侵,APT攻擊可以潛伏很長時間,悄悄的收集目標網路的相關資訊。在過去,有些APT攻擊可以活躍幾個月甚至幾年的時間。目前,許多SOC團隊已經開始採用威脅狩獵技術應對這樣的高級持續威脅攻擊。

映射到網路殺鏈(Cyber Kill Chain)

目前大多數組織所面臨的攻擊都可以通過網路殺鏈模型進行映射。在此框架下,攻擊者在初始階段收集情況、監視目標網路,找到可利用的弱點之後,會持續升級獲取更多的許可權。

通過瞭解攻擊者的活動路徑,狩獵者可以在他們入侵或竊取到有價值的資訊之前進行阻擊。換句話講,在實際破壞造成之前的監測、瞄準和製造威脅之前,狩獵者會開始假設和映射出攻擊者可能利用的潛在的手段和方法。狩獵者應有能力收集到有效的情報資訊,是的他們可以進一步的改進資料收集技術,並為未來的狩獵打好基礎。

SOC ThreatHunting 16

所有攻擊者都有簽名,用以識別攻擊者的身份和攻擊方式,這些簽名包括攻擊者的IP位址、網路/主機指紋資訊,以及戰術、技術和程式(TTPs)。總的來講,這些方法統稱為IoCsIndicators of Compromise),通過識別和使用相關的IoCs,狩獵者們可以使攻擊者的攻擊增加阻礙,使得攻擊更加耗時、成本更高或者更加困難。狩獵者通過行為分析和收集到的情報,挑選出IoCs,查明並拒絕攻擊者潛在的攻擊行為。

SOC ThreatHunting 17

組織尋找到IOCs 的能力,可以反映出威脅狩獵的成熟度模型。在此框架下,最有效的SOCs是那些些可以把情報和從狩獵中獲取到的知識融合到預警和自動響應中的管理平臺。

SOC ThreatHunting 18

文章來源:《Threat Hunting Report 2017.sqrrlMottoIN小編整理翻譯。

如何使用QRadar SIEM 進行網路威脅狩獵Threat Hunting