网络攻击可能会摧毁受害者。例如,米高梅度假村 (MGM Resorts) 预计将因 9 月份的网络攻击而遭受 1 亿美元的损失。
鲜为人知的是,在许多情况下,借助网络攻击发现可以预防网络攻击或将其消灭在萌芽状态。
威胁行为者变得越来越复杂,并不断发展他们的策略、技术和程序来逃避检测。
此外,当今的组织被警报淹没,常常不知道如何确定优先顺序并集中精力。因此,组织加速发现网络攻击的最佳方法是深入了解最有可能影响其特定业务的威胁。
利用最新的威胁情报丰富警报并将其置于上下文中,有助于组织消除盲点并最终更快地检测威胁。
防御策略
识别网络威胁的一种快速可靠的方法是主动威胁狩猎,它利用配备先进检测和主动响应技术和方法的人类防御者。
特别是威胁狩猎,在此期间,人类防御者积极地通过他们的网络和系统来识别网络攻击的迹象并先发制人地应对这些威胁,可以加快网络攻击的发现速度。
为了使威胁追踪发挥最佳作用,有必要将具体、相关和准确的情报与自动化相结合,以识别和减轻对手的活动。
在部署基于人的威胁追踪能力时,考虑与物理安全领先实践的相似之处是有帮助的。例如,负责保护关键资产的人类保安人员会不断检查物理基础设施,并通过积极巡逻和调查来维护其责任空间的完整性。
防守团队的静态性、常规性和可预测性越低,攻击者就越难预测防守者的行动。
您需要不断调整和完善您的检测和警报工具。对安全控制的定期审核、安全运营中心关于误报率的持续反馈、定期评估以及健康、优先的积压流程都至关重要。
检测工具和方法
最好的检测工具是根据其采用者独特的生态系统量身定制的。建议考虑更先进的方法,特别是 SIEM 和 SOAR 。重点关注自动化友好型工具,任何 IT 团队成员都可以在相对较短的时间内掌握这些工具。
目标是学习一项新技术的时间不超过一个月,最好是两周以内。如果需要学习一个新的分支,这个工具可能已经过时了。
实施入侵检测系统 (IDS)、采用 SIEM 解决方案、定期进行漏洞扫描、自动威胁搜寻和持续监控是最有效的安全方法。
加快发现网络攻击是一项多层次的工作,要求组织掌握通过确保随时提供培训和教育机会来快速教育团队了解新兴趋势的艺术。
准备工作可以分为四个基本步骤:制定云安全计划、利用可用的 AI/ML/威胁检测和响应工具、拥抱零信任以及实施合规性要求。
正如网络威胁形势不断发展一样,组织的网络安全策略也应该不断发展,特别是在威胁检测和响应方面。
开放核心业务系统的可见性对于实现持续威胁监控至关重要。例如,自动化可以帮助快速识别威胁,从而快速缓解威胁。
一旦发现威胁并在威胁发动之前就部署安全功能来应对威胁,这是保护关键业务系统的关键。
保持同步
即使新的安全技术和方法出现,对抗行为也在不断发展以跟上步伐。目前仍然没有足够的信息,例如,如何检测利用基于人工智能的恶意软件或代码来瞄准受害者的对手。
保持警惕与强大的检测工具和方法相结合可以大大降低入侵风险。就像分析师一样,对手也是人。在入侵的早期阶段,当他们犯错误时抓住他们会更容易。
有些部分的安全性可以推迟到组织达到一定的成熟度为止。但良好、有效的检测是安全运营的命脉,是企业拥有的最佳保护。