威胁侦测及应变

学习检测和响应网络安全威胁的基础知识,以及实施威胁检测程序.

探索InsightIDR

什么是威胁检测和响应?

威胁检测和响应是识别任何可能危害网络的恶意活动的实践,然后在它可以利用任何存在之前组成适当的响应来减轻或消除威胁 漏洞.

在组织的安全程序的上下文中, “威胁检测”的概念是多方面的. 即使是最好的安全程序也必须为最坏的情况做准备:当某人或某物越过他们的防御和预防技术并成为威胁时.

检测和响应是人们与技术联合起来解决漏洞的地方. 一个强大的威胁检测和响应程序结合了人, 流程, 以及尽早发现漏洞迹象的技术, 并采取适当的行动. 

检测威胁

在检测和减轻威胁方面,速度至关重要. 安全程序必须能够快速有效地检测威胁,这样攻击者就不会有足够的时间在敏感数据中搜索. 理想情况下,企业的防御程序可以阻止大多数以前看到的威胁, 也就是说他们应该知道如何对付它们.

这些威胁被认为是“已知”威胁. 然而,组织还需要检测额外的“未知”威胁. 这意味着组织以前没有遇到过这些问题, 也许是因为攻击者正在使用新的方法或技术.

即使是最好的防御措施,有时也会忽视已知的威胁, 这就是为什么大多数安全组织在其环境中积极寻找已知和未知威胁的原因. 那么,一个组织如何检测已知和未知的威胁呢?

利用威胁情报

威胁情报是一种查看来自先前攻击的签名数据并将其与企业数据进行比较以识别威胁的方法. 这使得它在检测已知威胁(而不是未知威胁)方面特别有效. 已知威胁是那些可识别的威胁,因为恶意软件或攻击者基础结构已被识别为与恶意活动相关联.

未知威胁是指那些在野外尚未被识别的威胁(或者是不断变化的威胁)。, 但威胁情报显示,威胁行为者的目标是一系列易受攻击的资产, 弱的凭证, 或者一个特定的垂直行业. 用户行为分析(UBA) 在帮助快速识别网络中的异常行为(可能表示未知的威胁)方面是无价的吗. UBA工具为给定环境中的“正常”情况建立基线, 然后利用分析(或者在某些情况下), 机器学习)来确定和警告行为何时偏离了基线. 

攻击者行为分析(ABA) 能暴露各种战术吗, 技术, 攻击者可以通过这些程序访问您的公司网络. http包括恶意软件之类的东西, 加密劫持(使用您的资产来挖掘加密货币), 以及机密数据泄露. 

违约期间, 攻击者未被发现的每一刻都是他们进一步深入您的环境的时间. uba和ABAs的组合提供了一个很好的起点,以确保您的 安全运营中心(SOC) 是否能尽早发现潜在的威胁 攻击链.

应对保安事故

实现适当的事件响应框架的最关键方面之一是涉众的参与和协调, 在启动框架之前. 没有人喜欢在有重要工作要做的时候出现意外或事后问问题. 基本 事件响应 问题包括:

  • 团队是否知道在事件响应的每个阶段谁负责? 
  • 正确的沟通链是否被充分理解? 
  • 团队成员是否知道何时以及如何根据需要升级问题? 

一个好的事件响应计划和剧本可以最大限度地减少数据泄露的影响,并确保事情顺利进行, 即使是在紧张的违规情况下. 如果你刚刚开始,一些重要的考虑包括: 

  • 定义处理事件的角色和职责:这些责任, 包括联系信息和备份, 是否应该在一个易于访问的通道中记录. 
  • 考虑联系谁:超越IT和安全团队,记录跨职能或第三方利益相关者(如法律利益相关者), PR, 你的董事会, 或者客户——应该及时通知. 了解谁拥有这些不同的通信以及如何执行这些通信将有助于确保响应顺利进行,并在整个过程中满足期望.

一个强大的威胁检测程序应该采用什么?

  • 安全事件威胁检测技术,从整个网络的事件中聚合数据, 包括身份验证, 网络访问, 以及关键系统的日志.
  • 网络威胁检测技术,了解网络上的流量模式和 监控网络流量,以及互联网.
  • 端点威胁检测技术,提供有关用户计算机上可能存在的恶意事件的详细信息, 以及任何有助于调查威胁的行为或法医信息. 
  • 渗透测试, 除了其他预防控制之外, 了解探测遥测和协调响应. 

主动威胁检测程序

为了增加遥测的元素,并在威胁响应中积极主动, 重要的是要明白没有单一的解决方案. 而不是, 工具的组合就像一张横跨整个组织攻击面的网, 从头到尾, 试图在威胁变成严重问题之前抓住它们.

使用蜜罐设置攻击者陷阱

有些目标对攻击者来说太诱人了. 安全团队知道这一点,所以他们设置陷阱,希望攻击者上钩. 在组织的网络环境中,入侵者陷阱可以包括一个 蜜罐 目标可能包含对攻击者特别有吸引力的网络服务. 这些“蜂蜜凭证”似乎具有攻击者为了访问敏感系统或数据而需要的用户权限.

当攻击者追逐这个诱饵时, 它会触发警报,这样安全团队就知道网络中有可疑活动,他们应该进行调查. 了解更多的不同之处 欺骗技术的类型.

威胁狩猎

而不是等待威胁出现在组织的网络中 威胁狩猎 使安全分析人员能够主动进入自己的网络, 端点, 和安全技术,寻找威胁或攻击者可能潜伏尚未被发现. 这是一种高级技术,通常由资深安全和威胁分析人员执行.

通过采用这些主动防御方法的组合, 安全团队可以监控组织员工的安全, data, 关键资产. 他们也会增加快速发现和减轻威胁的机会.

继续学习威胁检测

了解Rapid7的管理威胁检测 & 响应

检测 & Rapid7博客的回应新闻