网络“狩猎”是企业安全的重要组成部分,本文中专家Eric Cole介绍了它可如何帮助企业阻止攻击。
对于遭受攻击的企业,主要有以下说法:“这里有两种类型的企业,那些知道他们受到攻击的企业以及还不知道自己受到攻击的企业。”
真的是这样吗?另外还有一个更相关的说法:“这里有两种类型的企业,那些发现和检测攻击的企业以及持观望态度无视问题的企业。”如果没有可操作的步骤(例如部署最低风险评估或采用攻击性对策),安全并没有什么用。底线是:对于企业而言,积极的网络“狩猎”(即积极寻找企业中的攻击迹象)必须是企业安全计划的一部分,因为它是任何防御计划的关键部分,如果不是的话,应该将其涵盖进来。
信息安全的核心原则主要围绕这个概念:“防御是应该做的工作,但检测是必须做的工作。”在大多数企业中,防御一直是过去几年的主要重点,这并没有问题,但现在是时候把重点放在检测,其中应将网络“狩猎”作为解决方案的关键组件。
在“狩猎”中,以下两个关键指标可用来衡量成功:
攻击时间:关注企业受到攻击的时间长度。在短期内受到攻击是可接受的;但遭受攻击超过一年是不可接受的。由于很多攻击非常隐蔽,可能躲避传统的安全措施,而“狩猎”是发现攻击者以及减少整体攻击时间的重要组成部分。
横向移动:关注攻击者造成的损害程度。通常情况下,当攻击者入侵企业时,他们并不是瞄准包含信息的系统。他们必须建立一个支点,然后慢慢更深入网络,直到找到他们所需要的关键信息。他们在网络中的这种活动被称为横向移动。“狩猎”可在攻击者入侵后找到攻击者,但是这是在他们感染关键数据之前。通过中断横向运动,企业可以了解损害程度以及最小化攻击的整体影响。
网络“狩猎”面临的问题是企业应该关注它并采取行动。很多企业感到受挫,因为在大型企业中的“狩猎”相当于在海边丢了戒指,并试图第二天回去找到它,攻击面太大。对此,企业可通过威胁情报了解攻击者如何工作,以及专注于关键资产,“狩猎”是可管理的任务。下面是把“狩猎”付诸行动的工作清单:
• 确定你企业中最重要的数据或信息;
• 确定哪些业务流程在使用或访问这些信息;
• 确定所有支持关键业务流程的系统和网络;
• 获取进行适当“狩猎”所需关联和分析的工具;
• 收集有关流向关键系统/网络的流量信息;
• 收集有关服务器运作的信息;
• 利用威胁情报来了解企业面临的威胁和风险;
• 利用工具开始对正常行为和攻击行为执行自动分析;
• 对工具输出执行过滤;
• 对高风险警报适当地做出响应。
构建有效的网络防御计划是企业和攻击者之间一场持久战。随着攻击者不断发展,安全必须也不断改进来应对瞬息万变的威胁载体。现在,下一级安全性主要围绕控制攻击造成的损害程度。笔者喜欢用的比喻是,生病没有问题,但没有必要放在重症监护病房(ICU)。这里区别在于当问题发生时你如何响应问题。很多企业在发现自己成为新闻头条时感到很难堪;这相当于网络ICU。但通过专注于发现、控制和减少攻击者的影响,数据泄露会是小问题,而不会让企业成为头条新闻。
