最后更新于2023年12月22日星期五15:48:36 GMT

事件检测和响应(IDR), 也称为攻击/威胁检测和响应, 查找入侵者的过程是否在您的基础设施中, 追溯他们的活动, 遏制威胁, 让他们失去立足之地. 通过了解攻击者如何破坏系统并在您的网络中移动, 您可以在有价值的数据被盗之前更好地检测和阻止攻击. 本博客涵盖了攻击生命周期的不同组成部分,以帮助在攻击者窃取您的数据之前识别和修复威胁.

什么是违约??

安全漏洞, 也被称为数据泄露, 是敏感时, 受保护的, 或者机密数据被复制, 传播, 查看, 或被未经授权的个人使用. 这些数据可能被窃取、勒索赎金,甚至被破坏,最常见的是为了经济利益. 让我们想象一下医院被入侵的场景. 这意味着外部攻击者或内部威胁可以未经授权访问患者社会安全号码等私人信息, 医疗记录, 或者支付计划数据. 这些私人数据可以被攻击者用来进行身份盗窃或在二级市场上出售, 使它成为一个有利可图的任务目标.

今天的问题是攻击者潜伏在网络生态系统中不被发现的时间. 在初次违约之后, 攻击者不是在几分钟后就进出的——大多数团队需要100到200天才能识别出攻击, 还要20到30天来控制它. 挑战有三个方面:正确地检测攻击, 确定受影响的确切用户和资产的范围, 并采取适当措施将入侵者从系统中彻底清除. 在很多情况下, 最初的受损机器得到了适当的修复, 但其他攻击者制造的后门却不是, 不可避免地导致第二次违约.

什么是安全事件?

安全事件是违反组织安全策略的行为. 那么安全事故和数据泄露有什么不同呢? 安全事件是对策略的违反,如果是恶意的,则是一种破坏.

安全事件可以是一系列活动中的某件事. 有些更有目的性, 恶意示例包括泄露用户帐户, 或者成为网络钓鱼攻击的受害者. 其他可能更偶然, 比如丢失一个包含私人信息的闪存盘, 或者无意中泄露了不该公开的敏感信息. 无论是有意还是无意,让你的网络安全事件响应团队知道这一点很重要,这样他们就能意识到可能的攻击,并确保信息的安全.

什么是事件响应器?

响应者是快速准确地调查和控制攻击的人. 他们可能不是第一个发现攻击的人, 但他们负责评估网络安全事件的严重性, 确定所涉及的受影响用户和资产的范围, 补救-清理攻击,使入侵者不能再访问内部网络. 然而,回复者不一定是你公司的员工, 因为有些公司为其他企业提供外部响应. 外部响应者可以提供广泛的服务, 从你安全团队的延伸到帮助你加速调查和控制, 以及帮助您建立自己的安全团队.

入侵者是如何攻破一家公司的?

入侵者入侵公司的方式各不相同, 但在任何破坏中,入侵者必须至少采取攻击链上的一个步骤, 哪个图形表示入侵公司所需的步骤. 攻击链被分成五个不同的步骤, 渗透与坚持, 侦察, 横向运动, 任务目标, 保持存在感. 值得注意的是,攻击者并不需要完成所有这些步骤才能成功入侵, 他们也不必按照这个顺序来做, 尽管第一步总是由攻击者执行,以执行成功的破坏.

  • 渗透和持久:这一步是攻击者开始破坏您的网络, 在其中找到立足点. 实现这一目标的方法包括网络钓鱼、窃取凭证和恶意软件等.
  • 侦察:在攻击链的这一部分,攻击者评估形势并计划下一个目标.
  • 横向移动:攻击者从一个端点移动到另一个端点, 它被称为横向运动. 在攻击链的这一部分,攻击者将使用受损的凭据访问其他计算机. 如果泄露的凭证在另一台机器上成功,攻击者将登录, 从机器上刮掉密码散列或明文凭证, 并继续横向移动,直到他们得到他们想要的信息. 攻击者的目标是获得具有更高权限的凭证,这样他们就可以访问网络上的任何机器.
  • 任务目标:任务目标是具有重要价值的关键资产或系统, 例如受保护的健康信息或信用卡信息. 当攻击者到达此信息时,他们将尝试泄漏数据. 这通常是通过攻击者的恶意软件完成的, 或者通过云服务或FTP设置攻击.
  • 保持存在:攻击链的最后一步是保持存在. 攻击者会在整个网络中设置后门,这样即使第一台机器被渗透, 病人零, 得到了适当的补救, 攻击者以后仍然可以访问网络.

为什么很难发现网络攻击?

攻击可以通过多种方式进入您的网络, 但泄露背后的前三大攻击媒介是泄露的凭证, 恶意软件, 和钓鱼. 虽然企业很擅长捕捉已知的恶意软件, 当涉及到捕捉基于凭证的攻击时,它们就不那么熟练了, 作为预防系统,一旦攻击者进入网络,就无法检测到他们. 今天的预防技术, 比如防火墙和杀毒软件, 不要警惕攻击者成功窃取员工凭证并伪装成公司员工.

一种形象化的方法是想象被暴露的人 攻击表面 好像它是一个气球. 引入的用户、资产和技术越多,其规模就越大. 这个表面越大,攻击者潜在成为网络威胁的方式就越多. 移动设备和云服务也是如此. 随着越来越多的东西转移到云端, 攻击面越大,因为您对用户登录的内容和数据存储的位置的控制就越少, 使监控网络之外的活动变得更加困难. 就像气球怎么变大到爆掉一样, 攻击面越大, 如果不执行适当的攻击面管理,组织遭受攻击的风险就越高.

很难发现网络攻击的另一个原因是安全团队的规模. 一般来说,安全团队的规模较小, 这导致他们在攻击的冲击下变得紧张. 团队, 一旦不知所措, 当他们在调查假警报时,会开始错过真正的威胁吗, 由于组织从其安全堆栈的许多不同部分接收到大量警报, 验证它们的真实性以及随后的调查是非常耗时的. 较小的团队在承担更全面的项目(如SIEMs)时也会遇到更多困难, 因为他们没有时间和人力来承担这个项目.

下一步该怎么做