普普安全資訊一周概覽(0326-0401)

作者:

時間:
2022-04-01
01

開展網(wǎng)絡(luò)行為風(fēng)險分析的五種手段

1. 異常建模:使用機(jī)器學(xué)習(xí)模型和異常檢測來識別異常行為,比如用戶從無法識別的IP地址訪問網(wǎng)絡(luò),用戶從與其角色無關(guān)的敏感文檔存儲庫下載大量知識產(chǎn)權(quán)(IP),或者流量從組織沒有業(yè)務(wù)往來的國家或地區(qū)的服務(wù)器發(fā)來。

2. 威脅建模:使用來自威脅情報源的數(shù)據(jù)和違反規(guī)則/策略的情況,尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。

3. 訪問異常建模:確定用戶是否在訪問不尋常的資產(chǎn)或不應(yīng)該訪問的資產(chǎn)。這需要提取用戶角色、訪問權(quán)限及/或身份證件方面的數(shù)據(jù)。

4. 身份風(fēng)險剖析:根據(jù)人力資源數(shù)據(jù)、觀察名單或外部風(fēng)險指標(biāo),確定事件所涉及的用戶風(fēng)險級別。例如,最近沒有被公司考慮升職的員工也許更有可能對公司懷恨在心,企圖進(jìn)行報復(fù)。

5. 數(shù)據(jù)分類:標(biāo)記與事件有關(guān)的所有相關(guān)數(shù)據(jù),如涉及的事件、網(wǎng)段、資產(chǎn)或賬戶,為安全團(tuán)隊提供上下文信息。


普普點評

行為風(fēng)險分析,通常需要收集大量數(shù)據(jù),并基于該數(shù)據(jù)搭建訓(xùn)練模型,以查找異常行為和高風(fēng)險行為。這種方法通常需要為正常的網(wǎng)絡(luò)行為設(shè)定基準(zhǔn),通過機(jī)器學(xué)習(xí)等模型來檢查網(wǎng)絡(luò)活動并計算風(fēng)險評分,根據(jù)風(fēng)險評分查看異常情況,最終確定行為風(fēng)險級別。這有助于減少誤報并幫助安全團(tuán)隊確定風(fēng)險優(yōu)先級,從而將安全團(tuán)隊的工作量減少到更易于管理的水平。


02

未來SOC的第二個構(gòu)建塊:開放式集成框架

網(wǎng)絡(luò)安全中絕對“流行”的趨勢之一是安全運(yùn)營中心 (SOC) 現(xiàn)代化。越來越多的證據(jù)表明,這不是是否會受到攻擊的問題,而是何時以及如何攻擊一個組織。我們看到 SOC 縮小了他們成為檢測和響應(yīng)組織的使命的重點,需要某些構(gòu)建塊來為未來的 SOC做好準(zhǔn)備。

數(shù)據(jù)是 SOC 現(xiàn)代化的第一個構(gòu)建塊,數(shù)據(jù)是安全的命脈。當(dāng)安全性由數(shù)據(jù)驅(qū)動時,團(tuán)隊可以專注于相關(guān)的高優(yōu)先級問題,做出最佳決策并采取正確的行動。數(shù)據(jù)驅(qū)動的安全性還提供了一個持續(xù)的反饋循環(huán),使團(tuán)隊能夠捕獲和使用數(shù)據(jù)來改進(jìn)未來的分析。

第二個構(gòu)建塊建立在數(shù)據(jù)之上,是一個開放式集成架構(gòu),可確保系統(tǒng)和工具可以協(xié)同工作,并且數(shù)據(jù)可以在整個基礎(chǔ)架構(gòu)中流動。隨著 SOC 成為檢測和響應(yīng)組織,擴(kuò)展檢測和響應(yīng) (XDR) 成為關(guān)鍵能力,只有基于開放式架構(gòu)方法才能有效執(zhí)行。


普普點評

開放式集成架構(gòu)提供了對來自技術(shù)、威脅源和其他第三方來源的數(shù)據(jù)的最大訪問權(quán)限,并能夠在做出決定后推動對這些技術(shù)采取行動。但是,現(xiàn)代 SOC 還需要一個高效和有效地構(gòu)建模塊——平衡自動化與人工參與的能力。

03

物聯(lián)網(wǎng)紅利,怎樣才能放心的獲取呢?

物聯(lián)網(wǎng) (IoT) 解決了許多領(lǐng)域的關(guān)鍵問題,從生產(chǎn)到健康,再從交通到物流等等。然而,物聯(lián)網(wǎng)日益增加的安全風(fēng)險要求在使用網(wǎng)聯(lián)設(shè)備時要小心謹(jǐn)慎

連網(wǎng)的物聯(lián)網(wǎng)對象不是相同的設(shè)備、裝置或服務(wù)。它們每個都有不同的用途、接口、運(yùn)行機(jī)制和底層技術(shù)。鑒于這種多樣性,物聯(lián)網(wǎng)安全措施通過預(yù)防性方法保護(hù)通過網(wǎng)絡(luò)連接的物聯(lián)網(wǎng)設(shè)備,旨在防止可能通過這些設(shè)備實施的大規(guī)模網(wǎng)絡(luò)攻擊。與任何其他計算設(shè)備一樣,物聯(lián)網(wǎng)設(shè)備是攻擊者入侵公司網(wǎng)絡(luò)的潛在切入點,因此,需要強(qiáng)有力的安全措施來保護(hù)它們。

公司可以采取一些措施來確保其物聯(lián)網(wǎng)的安全,其中包括在物聯(lián)網(wǎng)設(shè)備上使用授權(quán)軟件,以及在收集或發(fā)送數(shù)據(jù)之前對網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備進(jìn)行身份驗證。此外,由于它們的計算能力和內(nèi)存有限,因此有必要設(shè)置防火墻來過濾發(fā)送到物聯(lián)網(wǎng)端點的數(shù)據(jù)包。


普普點評

今天,物聯(lián)網(wǎng)的應(yīng)用范圍已經(jīng)擴(kuò)大到包括傳統(tǒng)的工業(yè)機(jī)器,使它們具備與網(wǎng)絡(luò)連接和通信的能力。您可以看到物聯(lián)網(wǎng)技術(shù)現(xiàn)在用于醫(yī)療設(shè)備或用于教育、制造、業(yè)務(wù)發(fā)展和通信等各種目的,而越來越多的使用案例使得物聯(lián)網(wǎng)的安全性比以往任何時候都更加重要。

04

地獄開局的2022,穿好你的安全鎧甲

威脅一:成規(guī)模的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊對于企業(yè)、政府機(jī)構(gòu)等來說都并不陌生,往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長期數(shù)字生活,也給網(wǎng)絡(luò)攻擊帶來了一些新的變化。

威脅二:以假亂真的在線欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無感的方式嵌入我們的日常生活中,成為必不可少的工具,這意味著人們必須不斷自我學(xué)習(xí)來提升數(shù)字技能。這時候,很多缺乏數(shù)字技能的人,就可能成為網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)。

威脅三:零工時代的勞工困境

如果說前面兩種威脅都是實打?qū)嵉呢敭a(chǎn)或信息損失,可以通過有力的政策和技術(shù)工具來規(guī)避,那么有一種威脅可能是悄無聲息、但傷筋動骨的,那就是零工經(jīng)濟(jì)引發(fā)的勞工問題。


普普點評

2022年開局,幾乎是各種負(fù)面新聞和疫情反復(fù)的錘煉,很多“心大”的朋友都開始變得焦灼,紛紛表示“蚌埠住了”。疫情第三年,大家的情緒似乎都抵達(dá)了一個臨界點。然而,越是令人身心疲憊的危機(jī)時刻,越要穿好健康和安全的鎧甲,妥善照顧好自己的生活。

05

零信任安全架構(gòu)應(yīng)如何落地?

過去,我們認(rèn)為企業(yè)如同一座被城墻(防火墻)、護(hù)城河(DMZ)和吊橋(訪問控制)層層防護(hù)起來的堅固城池,但隨著網(wǎng)絡(luò)攻擊手段的不斷升級、犯罪販子的日益猖獗、遠(yuǎn)程辦公常態(tài)化所帶來的攻擊面增大等眾多因素的影響下,零信任理念已經(jīng)逐漸成為解決網(wǎng)絡(luò)安全問題的重要推手。

2021年5月,美國政府在改善國家網(wǎng)絡(luò)安全的行政令中要求政府機(jī)構(gòu)要采用零信任方案,政令發(fā)布后,美國行政管理和預(yù)算辦公室(英文簡稱:OMB)隨即發(fā)布了如何推進(jìn)零信任架構(gòu)落地的戰(zhàn)略方案,此外,接二連三,CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書《零信任架構(gòu)規(guī)劃》,其中,《零信任架構(gòu)規(guī)劃》闡述了如何利用網(wǎng)絡(luò)安全框架(CSF)和NIST風(fēng)險管理框架(RMF,SP800–37)來助力企業(yè)順利遷移升級為零信任架構(gòu)。


普普點評

盡管零信任是大多數(shù)網(wǎng)絡(luò)安全團(tuán)隊的首選,但其實際落地卻不盡樂觀。在Forrester所調(diào)查的企業(yè)中,能夠全面部署零信任的企業(yè)所占比例僅為6%;另有30%的受訪者表示只是在企業(yè)局部部署了零信任;還有63%的受訪者表示,其企業(yè)內(nèi)部對零信任項目現(xiàn)仍于評估、規(guī)劃或試點階段。

06

網(wǎng)絡(luò)安全態(tài)勢感知:端點可見性

端點不僅僅是一個閑置在角落里的斷開連接的黑匣子。端點通常是有權(quán)參與預(yù)定義活動的計算平臺,例如處理能力、訪問資源或與其他端點通信。所有這些端點的存在都是為了向組織提供價值,但要確保這一價值,需要驗證它們的行為是否符合組織的預(yù)期。有效的態(tài)勢感知通過定位超出其權(quán)限范圍的端點來執(zhí)行策略,并為運(yùn)營商提供可疑和良性端點行為的整體圖景。這種意識支持決策并幫助組織降低風(fēng)險。

在某些配置中,其中許多解決方案會生成大量日志數(shù)據(jù),通常通過網(wǎng)絡(luò)將其發(fā)送到中央收集器。歸檔這些日志所需的存儲量可能會迅速增加,并且此活動占用的網(wǎng)絡(luò)帶寬會增加大量網(wǎng)絡(luò)開銷并使低帶寬連接飽和,端點可見性的某些方面可以在網(wǎng)絡(luò)級別實現(xiàn),允許態(tài)勢感知收集完全忽略端點提供的重復(fù)數(shù)據(jù),或者用來自另一個數(shù)據(jù)集的信息證實一個數(shù)據(jù)集中的觀察結(jié)果。


普普點評

在許多企業(yè)中,端點監(jiān)控的最大障礙不是技術(shù),而是組織。端點管理通常獨(dú)立于網(wǎng)絡(luò)管理進(jìn)行管理,并且可以進(jìn)一步細(xì)分為對工作站、服務(wù)器、云與內(nèi)部部署等的管理。真正全面的網(wǎng)絡(luò)態(tài)勢感知需要組織各部門的協(xié)作。建立這些橋梁可能是一項投資,但回報不僅僅是端點可見性,而是一種更全面的網(wǎng)絡(luò)安全監(jiān)控和響應(yīng)方法。

07

網(wǎng)絡(luò)安全漏洞的三個防范措施

防火墻技術(shù):是網(wǎng)絡(luò)安全防護(hù)中最常用的技術(shù)之一,作用原理是在用戶端網(wǎng)絡(luò)周圍建立起一定的保護(hù)網(wǎng)絡(luò),從而將用戶的網(wǎng)絡(luò)與外部的網(wǎng)絡(luò)相區(qū)隔。

防病毒技術(shù):計算機(jī)病毒是危害性最大的網(wǎng)絡(luò)安全問題,具有傳播快、影響范圍廣的特點,給其防范帶來了很大的難度。最常使用的防病毒方式就是安全防病毒的軟件。

數(shù)據(jù)加密技術(shù):是近年來新發(fā)展起來的一種安全防護(hù)措施。它的作用原理是將加密的算法與加密秘鑰結(jié)合起來,將明文轉(zhuǎn)換為密文,在計算機(jī)之間進(jìn)行數(shù)據(jù)傳輸。為了一個安全、良好、有序的網(wǎng)絡(luò)環(huán)境,有必要采取有效的安全防范措施。

對計算機(jī)安全漏洞的防范是一個長期持續(xù)的過程,防范的措施也要隨著時間的變化和技術(shù)的發(fā)展進(jìn)行不斷的創(chuàng)新。


普普點評

互聯(lián)網(wǎng)誕生之日起,就對我們的社會產(chǎn)生了深遠(yuǎn)的影響,如今,各類互聯(lián)網(wǎng)應(yīng)用無處不在,網(wǎng)絡(luò)安全隱患更是與我們的生活緊緊跟隨?;ヂ?lián)網(wǎng)設(shè)備和應(yīng)用承載著豐富的功能,一旦存在安全漏洞,攻擊者能夠用利用這些漏洞盜取用戶的資料和個人信息,從而造成不良影響。因此,確保網(wǎng)絡(luò)安全,已經(jīng)成為了很多公司企業(yè)的當(dāng)務(wù)之急。