网络犯罪近来大幅增长。坏消息是,它不会很快结束。可以毫不夸张地说,随着时间的推移,黑客变得更加野心勃勃,他们的目标翻了一番——从窃取金融信息到用户机密数据再到知识产权信息。任何给定资产的损失都可能导致组织倒闭。普华永道最近的一项研究《2016 年经济犯罪调查》预测,预计未来两年内将有超过 50% 的英国公司受到网络犯罪的攻击。
随着不道德的尝试变得更加持久和强大,拥有一个具有强大的安全事件检测和响应能力的数据中心是必不可少的。缺乏被视为良好安全管理流程核心的功能齐全的安全运营中心的组织极易受到此类攻击。这种下滑可能是由于多种因素造成的,例如不合适的安全工具、预算限制、未经培训的安全专业人员以及脆弱的事件管理流程。为了自满,IT 管理员应该为最新的技术做好准备,并着重于增强其现有安全运营中心 (SOC) 的能力,以便积极消除这些太空时代的攻击。请记住——及时做出的决定将推动您的业务向前发展,
本博客试图阐明一些有助于使您的 SOC 成为抵御无端网络攻击的有效武器的关键因素:
在当今时代,大多数企业都认为他们不容易受到网络攻击,因为他们在组织中从未遇到过这种攻击。外观是不同的,因为他们甚至不知道他们的系统是否已经受到损害。时间的需要是赶时间并弄清这样一个事实,即从违规行为开始到被发现的平均天数在 210 到 254 天之间。
在我们继续之前,先看一下组织用来保护公司网络的工具。为了减轻这种有针对性的攻击的影响,需要维护 SOC,以便在让它们进入不可恢复的阶段之前迅速检测和防御问题。在采取飞跃之前,首先要确定您的安全运营成熟度:
安全分析
主要是,根据攻击者和用于启动此类攻击的方法,攻击分为两个维度。当攻击方法已知时,IT 管理员会使用基本规则来解决它们,例如 AV 签名、入侵防御系统、自动漏洞扫描器、SIEM、数据泄漏防御系统和端点防病毒。好吧,当攻击方法未知时——分析就会出现。好吧,据观察,大多数攻击模式都是未知的,这使得传统的基于规则的系统无法应对当前的威胁经济。
分析允许识别未知的攻击者和攻击,并在需要进一步搜索以隔离潜在漏洞(如果有)时发送通知。此外,使用威胁情报的分析更加绝对,因为它无需任何第二次尝试即可确定潜在的违规行为。
将 SOC 升级到安全分析的方法
IT 专业人员寻求升级 SOC 的第一步也是最重要的一步是在部署分析平台之前确定越来越多的使用实例。用例不应仅限于基本的已知和未知攻击概念。在所有这些原因中,了解您应该在哪里实施统计或机器学习方法以及它如何填补空白这一事实很重要。
了解分析用例后的第二阶段是利用相同的分析平台并将其与正确的数据源集结合起来。补充一点,由于包括其他来源在内的安全技术的数据量将飙升——该平台可以被理解为大数据平台。
现在实施威胁情报以识别未知攻击。在这种情况下,安全专业人员了解攻击者的特征,但攻击仍然未知。安全运营中心可以丰富地组合来自外部来源的威胁情报源并修改规则,以便轻松识别攻击。威胁检测之后会迅速进入安全编排阶段,以阻止攻击者访问网络。请记住,响应时间差或响应延迟可能会导致灾难。
这是第四个阶段,需要自动探测和修复。在此,要求SOC分析师分担责任,追问攻击者是谁,会对系统造成什么损害,是否属于新型攻击,是否属于战役攻击等。回答这些问题将有助于更正确、更全面地解决问题。最后,应用安全分析和编排将有助于改变 SOC 团队的角色和结构。
确定您的安全运营成熟度以获得更好的吞吐量
每个组织都是不同的,他们的成熟度和能力也是如此。评估自己的有效性并根据发现的结果制定计划是相当困难的。有许多安全操作成熟度评估受益者可以帮助确定您当前的成熟度,并且它们允许您将您的系统与您的同行的系统进行比较。这种评估有助于实现多个目标:
- 帮助确定安全操作的效率
- 提供最适合的建议,有助于释放许多机会
- 创建有助于实现成熟安全运营中心的路线图
最后的话
通过集成安全分析和编排功能,企业可以减少不道德的尝试。然而,这种功能齐全的模型只能通过使用前卫的技术平台并在下一代 SOC 中集成新的角色集来实现。一旦成功执行,IT 管理员可以快速检测并解决问题,从而减少无法检测到的网络攻击。
