普普安全資訊一周概覽(0326-0401)

作者:

時(shí)間:
2022-04-01
01

開展網(wǎng)絡(luò)行為風(fēng)險(xiǎn)分析的五種手段

1. 異常建模:使用機(jī)器學(xué)習(xí)模型和異常檢測(cè)來識(shí)別異常行為,比如用戶從無法識(shí)別的IP地址訪問網(wǎng)絡(luò),用戶從與其角色無關(guān)的敏感文檔存儲(chǔ)庫(kù)下載大量知識(shí)產(chǎn)權(quán)(IP),或者流量從組織沒有業(yè)務(wù)往來的國(guó)家或地區(qū)的服務(wù)器發(fā)來。

2. 威脅建模:使用來自威脅情報(bào)源的數(shù)據(jù)和違反規(guī)則/策略的情況,尋找已知的惡意行為。這可以快速輕松地篩選出簡(jiǎn)單的惡意軟件。

3. 訪問異常建模:確定用戶是否在訪問不尋常的資產(chǎn)或不應(yīng)該訪問的資產(chǎn)。這需要提取用戶角色、訪問權(quán)限及/或身份證件方面的數(shù)據(jù)。

4. 身份風(fēng)險(xiǎn)剖析:根據(jù)人力資源數(shù)據(jù)、觀察名單或外部風(fēng)險(xiǎn)指標(biāo),確定事件所涉及的用戶風(fēng)險(xiǎn)級(jí)別。例如,最近沒有被公司考慮升職的員工也許更有可能對(duì)公司懷恨在心,企圖進(jìn)行報(bào)復(fù)。

5. 數(shù)據(jù)分類:標(biāo)記與事件有關(guān)的所有相關(guān)數(shù)據(jù),如涉及的事件、網(wǎng)段、資產(chǎn)或賬戶,為安全團(tuán)隊(duì)提供上下文信息。


普普點(diǎn)評(píng)

行為風(fēng)險(xiǎn)分析,通常需要收集大量數(shù)據(jù),并基于該數(shù)據(jù)搭建訓(xùn)練模型,以查找異常行為和高風(fēng)險(xiǎn)行為。這種方法通常需要為正常的網(wǎng)絡(luò)行為設(shè)定基準(zhǔn),通過機(jī)器學(xué)習(xí)等模型來檢查網(wǎng)絡(luò)活動(dòng)并計(jì)算風(fēng)險(xiǎn)評(píng)分,根據(jù)風(fēng)險(xiǎn)評(píng)分查看異常情況,最終確定行為風(fēng)險(xiǎn)級(jí)別。這有助于減少誤報(bào)并幫助安全團(tuán)隊(duì)確定風(fēng)險(xiǎn)優(yōu)先級(jí),從而將安全團(tuán)隊(duì)的工作量減少到更易于管理的水平。


02

未來SOC的第二個(gè)構(gòu)建塊:開放式集成框架

網(wǎng)絡(luò)安全中絕對(duì)“流行”的趨勢(shì)之一是安全運(yùn)營(yíng)中心 (SOC) 現(xiàn)代化。越來越多的證據(jù)表明,這不是是否會(huì)受到攻擊的問題,而是何時(shí)以及如何攻擊一個(gè)組織。我們看到 SOC 縮小了他們成為檢測(cè)和響應(yīng)組織的使命的重點(diǎn),需要某些構(gòu)建塊來為未來的 SOC做好準(zhǔn)備。

數(shù)據(jù)是 SOC 現(xiàn)代化的第一個(gè)構(gòu)建塊,數(shù)據(jù)是安全的命脈。當(dāng)安全性由數(shù)據(jù)驅(qū)動(dòng)時(shí),團(tuán)隊(duì)可以專注于相關(guān)的高優(yōu)先級(jí)問題,做出最佳決策并采取正確的行動(dòng)。數(shù)據(jù)驅(qū)動(dòng)的安全性還提供了一個(gè)持續(xù)的反饋循環(huán),使團(tuán)隊(duì)能夠捕獲和使用數(shù)據(jù)來改進(jìn)未來的分析。

第二個(gè)構(gòu)建塊建立在數(shù)據(jù)之上,是一個(gè)開放式集成架構(gòu),可確保系統(tǒng)和工具可以協(xié)同工作,并且數(shù)據(jù)可以在整個(gè)基礎(chǔ)架構(gòu)中流動(dòng)。隨著 SOC 成為檢測(cè)和響應(yīng)組織,擴(kuò)展檢測(cè)和響應(yīng) (XDR) 成為關(guān)鍵能力,只有基于開放式架構(gòu)方法才能有效執(zhí)行。


普普點(diǎn)評(píng)

開放式集成架構(gòu)提供了對(duì)來自技術(shù)、威脅源和其他第三方來源的數(shù)據(jù)的最大訪問權(quán)限,并能夠在做出決定后推動(dòng)對(duì)這些技術(shù)采取行動(dòng)。但是,現(xiàn)代 SOC 還需要一個(gè)高效和有效地構(gòu)建模塊——平衡自動(dòng)化與人工參與的能力。

03

物聯(lián)網(wǎng)紅利,怎樣才能放心的獲取呢?

物聯(lián)網(wǎng) (IoT) 解決了許多領(lǐng)域的關(guān)鍵問題,從生產(chǎn)到健康,再?gòu)慕煌ǖ轿锪鞯鹊?。然而,物?lián)網(wǎng)日益增加的安全風(fēng)險(xiǎn)要求在使用網(wǎng)聯(lián)設(shè)備時(shí)要小心謹(jǐn)慎

連網(wǎng)的物聯(lián)網(wǎng)對(duì)象不是相同的設(shè)備、裝置或服務(wù)。它們每個(gè)都有不同的用途、接口、運(yùn)行機(jī)制和底層技術(shù)。鑒于這種多樣性,物聯(lián)網(wǎng)安全措施通過預(yù)防性方法保護(hù)通過網(wǎng)絡(luò)連接的物聯(lián)網(wǎng)設(shè)備,旨在防止可能通過這些設(shè)備實(shí)施的大規(guī)模網(wǎng)絡(luò)攻擊。與任何其他計(jì)算設(shè)備一樣,物聯(lián)網(wǎng)設(shè)備是攻擊者入侵公司網(wǎng)絡(luò)的潛在切入點(diǎn),因此,需要強(qiáng)有力的安全措施來保護(hù)它們。

公司可以采取一些措施來確保其物聯(lián)網(wǎng)的安全,其中包括在物聯(lián)網(wǎng)設(shè)備上使用授權(quán)軟件,以及在收集或發(fā)送數(shù)據(jù)之前對(duì)網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備進(jìn)行身份驗(yàn)證。此外,由于它們的計(jì)算能力和內(nèi)存有限,因此有必要設(shè)置防火墻來過濾發(fā)送到物聯(lián)網(wǎng)端點(diǎn)的數(shù)據(jù)包。


普普點(diǎn)評(píng)

今天,物聯(lián)網(wǎng)的應(yīng)用范圍已經(jīng)擴(kuò)大到包括傳統(tǒng)的工業(yè)機(jī)器,使它們具備與網(wǎng)絡(luò)連接和通信的能力。您可以看到物聯(lián)網(wǎng)技術(shù)現(xiàn)在用于醫(yī)療設(shè)備或用于教育、制造、業(yè)務(wù)發(fā)展和通信等各種目的,而越來越多的使用案例使得物聯(lián)網(wǎng)的安全性比以往任何時(shí)候都更加重要。

04

地獄開局的2022,穿好你的安全鎧甲

威脅一:成規(guī)模的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊對(duì)于企業(yè)、政府機(jī)構(gòu)等來說都并不陌生,往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長(zhǎng)期數(shù)字生活,也給網(wǎng)絡(luò)攻擊帶來了一些新的變化。

威脅二:以假亂真的在線欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無感的方式嵌入我們的日常生活中,成為必不可少的工具,這意味著人們必須不斷自我學(xué)習(xí)來提升數(shù)字技能。這時(shí)候,很多缺乏數(shù)字技能的人,就可能成為網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)。

威脅三:零工時(shí)代的勞工困境

如果說前面兩種威脅都是實(shí)打?qū)嵉呢?cái)產(chǎn)或信息損失,可以通過有力的政策和技術(shù)工具來規(guī)避,那么有一種威脅可能是悄無聲息、但傷筋動(dòng)骨的,那就是零工經(jīng)濟(jì)引發(fā)的勞工問題。


普普點(diǎn)評(píng)

2022年開局,幾乎是各種負(fù)面新聞和疫情反復(fù)的錘煉,很多“心大”的朋友都開始變得焦灼,紛紛表示“蚌埠住了”。疫情第三年,大家的情緒似乎都抵達(dá)了一個(gè)臨界點(diǎn)。然而,越是令人身心疲憊的危機(jī)時(shí)刻,越要穿好健康和安全的鎧甲,妥善照顧好自己的生活。

05

零信任安全架構(gòu)應(yīng)如何落地?

過去,我們認(rèn)為企業(yè)如同一座被城墻(防火墻)、護(hù)城河(DMZ)和吊橋(訪問控制)層層防護(hù)起來的堅(jiān)固城池,但隨著網(wǎng)絡(luò)攻擊手段的不斷升級(jí)、犯罪販子的日益猖獗、遠(yuǎn)程辦公常態(tài)化所帶來的攻擊面增大等眾多因素的影響下,零信任理念已經(jīng)逐漸成為解決網(wǎng)絡(luò)安全問題的重要推手。

2021年5月,美國(guó)政府在改善國(guó)家網(wǎng)絡(luò)安全的行政令中要求政府機(jī)構(gòu)要采用零信任方案,政令發(fā)布后,美國(guó)行政管理和預(yù)算辦公室(英文簡(jiǎn)稱:OMB)隨即發(fā)布了如何推進(jìn)零信任架構(gòu)落地的戰(zhàn)略方案,此外,接二連三,CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書《零信任架構(gòu)規(guī)劃》,其中,《零信任架構(gòu)規(guī)劃》闡述了如何利用網(wǎng)絡(luò)安全框架(CSF)和NIST風(fēng)險(xiǎn)管理框架(RMF,SP800–37)來助力企業(yè)順利遷移升級(jí)為零信任架構(gòu)。


普普點(diǎn)評(píng)

盡管零信任是大多數(shù)網(wǎng)絡(luò)安全團(tuán)隊(duì)的首選,但其實(shí)際落地卻不盡樂觀。在Forrester所調(diào)查的企業(yè)中,能夠全面部署零信任的企業(yè)所占比例僅為6%;另有30%的受訪者表示只是在企業(yè)局部部署了零信任;還有63%的受訪者表示,其企業(yè)內(nèi)部對(duì)零信任項(xiàng)目現(xiàn)仍于評(píng)估、規(guī)劃或試點(diǎn)階段。

06

網(wǎng)絡(luò)安全態(tài)勢(shì)感知:端點(diǎn)可見性

端點(diǎn)不僅僅是一個(gè)閑置在角落里的斷開連接的黑匣子。端點(diǎn)通常是有權(quán)參與預(yù)定義活動(dòng)的計(jì)算平臺(tái),例如處理能力、訪問資源或與其他端點(diǎn)通信。所有這些端點(diǎn)的存在都是為了向組織提供價(jià)值,但要確保這一價(jià)值,需要驗(yàn)證它們的行為是否符合組織的預(yù)期。有效的態(tài)勢(shì)感知通過定位超出其權(quán)限范圍的端點(diǎn)來執(zhí)行策略,并為運(yùn)營(yíng)商提供可疑和良性端點(diǎn)行為的整體圖景。這種意識(shí)支持決策并幫助組織降低風(fēng)險(xiǎn)。

在某些配置中,其中許多解決方案會(huì)生成大量日志數(shù)據(jù),通常通過網(wǎng)絡(luò)將其發(fā)送到中央收集器。歸檔這些日志所需的存儲(chǔ)量可能會(huì)迅速增加,并且此活動(dòng)占用的網(wǎng)絡(luò)帶寬會(huì)增加大量網(wǎng)絡(luò)開銷并使低帶寬連接飽和,端點(diǎn)可見性的某些方面可以在網(wǎng)絡(luò)級(jí)別實(shí)現(xiàn),允許態(tài)勢(shì)感知收集完全忽略端點(diǎn)提供的重復(fù)數(shù)據(jù),或者用來自另一個(gè)數(shù)據(jù)集的信息證實(shí)一個(gè)數(shù)據(jù)集中的觀察結(jié)果。


普普點(diǎn)評(píng)

在許多企業(yè)中,端點(diǎn)監(jiān)控的最大障礙不是技術(shù),而是組織。端點(diǎn)管理通常獨(dú)立于網(wǎng)絡(luò)管理進(jìn)行管理,并且可以進(jìn)一步細(xì)分為對(duì)工作站、服務(wù)器、云與內(nèi)部部署等的管理。真正全面的網(wǎng)絡(luò)態(tài)勢(shì)感知需要組織各部門的協(xié)作。建立這些橋梁可能是一項(xiàng)投資,但回報(bào)不僅僅是端點(diǎn)可見性,而是一種更全面的網(wǎng)絡(luò)安全監(jiān)控和響應(yīng)方法。

07

網(wǎng)絡(luò)安全漏洞的三個(gè)防范措施

防火墻技術(shù):是網(wǎng)絡(luò)安全防護(hù)中最常用的技術(shù)之一,作用原理是在用戶端網(wǎng)絡(luò)周圍建立起一定的保護(hù)網(wǎng)絡(luò),從而將用戶的網(wǎng)絡(luò)與外部的網(wǎng)絡(luò)相區(qū)隔。

防病毒技術(shù):計(jì)算機(jī)病毒是危害性最大的網(wǎng)絡(luò)安全問題,具有傳播快、影響范圍廣的特點(diǎn),給其防范帶來了很大的難度。最常使用的防病毒方式就是安全防病毒的軟件。

數(shù)據(jù)加密技術(shù):是近年來新發(fā)展起來的一種安全防護(hù)措施。它的作用原理是將加密的算法與加密秘鑰結(jié)合起來,將明文轉(zhuǎn)換為密文,在計(jì)算機(jī)之間進(jìn)行數(shù)據(jù)傳輸。為了一個(gè)安全、良好、有序的網(wǎng)絡(luò)環(huán)境,有必要采取有效的安全防范措施。

對(duì)計(jì)算機(jī)安全漏洞的防范是一個(gè)長(zhǎng)期持續(xù)的過程,防范的措施也要隨著時(shí)間的變化和技術(shù)的發(fā)展進(jìn)行不斷的創(chuàng)新。


普普點(diǎn)評(píng)

互聯(lián)網(wǎng)誕生之日起,就對(duì)我們的社會(huì)產(chǎn)生了深遠(yuǎn)的影響,如今,各類互聯(lián)網(wǎng)應(yīng)用無處不在,網(wǎng)絡(luò)安全隱患更是與我們的生活緊緊跟隨?;ヂ?lián)網(wǎng)設(shè)備和應(yīng)用承載著豐富的功能,一旦存在安全漏洞,攻擊者能夠用利用這些漏洞盜取用戶的資料和個(gè)人信息,從而造成不良影響。因此,確保網(wǎng)絡(luò)安全,已經(jīng)成為了很多公司企業(yè)的當(dāng)務(wù)之急。