普普安全資訊一周概覽(0430-0506)

作者:

時間:
2022-05-06
企業(yè)安全運營必備的能力

1.數(shù)據(jù)采集.數(shù)據(jù)是現(xiàn)代安全運營中心的生命線,分析和算法離不開數(shù)據(jù)。

2.威脅檢測。安全運營中心需要能夠結(jié)合多種技術(shù),比如關(guān)聯(lián)規(guī)則、機器學(xué)習(xí)和數(shù)據(jù)分析,實現(xiàn)更好的安全事件檢測能力。

3.風險預(yù)警。預(yù)測安全事件的能力可以讓安全運營中心主動將事件上報給人員,或通過預(yù)定義的流程簡化響應(yīng)。

4.自動化運營。自動化是幫助安全分析師的新技術(shù)之一,通過自動化功能,使安全運營中心高效快捷處理工作。

5.能力編排。編排所有產(chǎn)品的能力可以消除開銷、減少了挫折感,并幫助安全分析師將精力集中在重要任務(wù)上。

6.知識庫積累。通過知識庫積累,能夠建議下一步具體的行動或戰(zhàn)略手冊。

7.團隊合作。安全是一項需要協(xié)調(diào)、溝通和協(xié)作的團隊工作。

8.案例管理。當安全事故發(fā)生后,安全團隊需要確保自己有響應(yīng)計劃、工作流程、證據(jù)收集、溝通等。

9.報告展現(xiàn)。擁有合適的報告工具可以幫助安全團隊了解正在執(zhí)行的操作,并能夠準確地衡量現(xiàn)狀和需要實現(xiàn)的目標。


普普點評

精心設(shè)計、精心維護且人員配備齊全的安全運營中心已經(jīng)成為現(xiàn)代企業(yè)組織必須依靠的安全防線,它是一個進行集中安全運維的地方,安全團隊通常全天候不間斷地監(jiān)控、檢測、分析和響應(yīng)網(wǎng)絡(luò)安全事件。企業(yè)組織要確保網(wǎng)絡(luò)安全,不妨認真審視一下自己的安全運營中心。

01


普普安全資訊一周概覽(0430-0506)



告別孤立的安全告警!立刻升級SIEM的五大理由

安全信息事件管理(SIEM)系統(tǒng)的應(yīng)用已經(jīng)超過20年,但隨著網(wǎng)絡(luò)攻擊變得越來越隱秘、手段越來越復(fù)雜、影響越來越大,SIEM也需不斷升級演進。

挑戰(zhàn)一:原始數(shù)據(jù)量多,噪音太大。當今,SIEM技術(shù)已跟不上安全團隊收集和生成的海量數(shù)據(jù)。它不僅會錯過大量的安全威脅,而且還會產(chǎn)生較多誤報,因此需要實現(xiàn)數(shù)據(jù)自動化處理,以消除“誤報”。

挑戰(zhàn)二:過時的、基于規(guī)則的識別技術(shù)。試圖使用簡單的、基于規(guī)則的技術(shù)來有效地進行威脅檢測目前已經(jīng)行不通,因此需要基于人工智能技術(shù)實現(xiàn)人工智能技術(shù)。

挑戰(zhàn)三:弱檢測,無響應(yīng)。SIEM一直存在“弱檢測,無響應(yīng)”的問題,但有效的警報分類需要檢測和響應(yīng)之間相互作用。由此需要將檢測和響應(yīng)由一個平臺自動化實現(xiàn)。

挑戰(zhàn)四:SIEM系統(tǒng)不會“學(xué)習(xí)”。大多數(shù)情況下,SIEM不會機器學(xué)習(xí)或很少使用機器學(xué)習(xí)算法,這不利于高效安全運營工作的開展。由此需要在機器學(xué)習(xí)技術(shù)的幫助下,更有效地檢測、分析和響應(yīng)海量數(shù)據(jù)。


普普點評

傳統(tǒng)SIEM系統(tǒng)由于存在難以實現(xiàn)精準告警、漏報較為嚴重等問題,已不是企業(yè)安全運營管理的理想選擇,但這并不意味著需要淘汰它。作為企業(yè)內(nèi)部安全日志的匯聚器,SIEM的基本功能或許永遠不會過時,因為本地安全日志始終是最具價值的威脅情報來源。但安全團隊需要盡快升級優(yōu)化SIEM,配合更多的威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報分析以及流程自動化/編排等先進安全能力,以實現(xiàn)更加高效、準確的發(fā)現(xiàn)、檢測和響應(yīng)安全威脅。

02

普普安全資訊一周概覽(0430-0506)



網(wǎng)絡(luò)犯罪分子利用新的安全漏洞的速度有多快?

Skybox安全研究實驗室在2021年公布了20175個新漏洞。新漏洞數(shù)量的創(chuàng)紀錄增長。數(shù)據(jù)顯示,運營技術(shù)(OT)漏洞在2021年增加了88%,這些漏洞用于攻擊關(guān)鍵基礎(chǔ)設(shè)施,并使重要系統(tǒng)面臨潛在的破壞。運營技術(shù)系統(tǒng)支持能源、水、交通、環(huán)境控制系統(tǒng)和其他基本設(shè)備。對這些重要資產(chǎn)的網(wǎng)絡(luò)攻擊可能造成嚴重的經(jīng)濟損失,甚至危及公共健康和安全。隨著2021年新漏洞的出現(xiàn),威脅行為者立即利用它們。2021年發(fā)布的168個漏洞在12個月內(nèi)被迅速利用,這比2020年發(fā)布并隨后被利用的漏洞數(shù)量多出24%。換句話說,威脅行為者和惡意軟件開發(fā)人員將最近出現(xiàn)的漏洞武器化。這讓安全團隊陷入困境,縮短了從最初發(fā)現(xiàn)漏洞到出現(xiàn)針對漏洞的主動攻擊之間的時間。修復(fù)已知漏洞的窗口越來越小,這意味著主動性漏洞管理方法比以往任何時候都更為重要。此外,針對已知漏洞的新加密劫持程序同比增長75%,勒索軟件增長了42%。這為經(jīng)驗豐富的網(wǎng)絡(luò)罪犯和缺乏經(jīng)驗的新手提供一系列工具和服務(wù)。


普普點評

為了通用風險語言實現(xiàn)標準化,安全團隊需要一個客觀的框架來衡量任何給定漏洞對其企業(yè)構(gòu)成的實際風險。為了防止發(fā)生網(wǎng)絡(luò)安全事件,對可能導(dǎo)致最嚴重破壞的暴露漏洞進行優(yōu)先排序至關(guān)重要。為了通用風險語言實現(xiàn)標準化,安全團隊需要一個客觀的框架來衡量任何給定漏洞對其企業(yè)構(gòu)成的實際風險。然后應(yīng)用適當?shù)难a救選項,包括配置更改或網(wǎng)絡(luò)分段,以消除風險。

03

普普安全資訊一周概覽(0430-0506)



企業(yè)應(yīng)如何防范云安全風險?

企業(yè)使用云計算服務(wù)已經(jīng)有了幾十年的歷史,云計算已經(jīng)成為我們應(yīng)用程序、基礎(chǔ)設(shè)施和數(shù)據(jù)的安全門戶。針對面臨的風險和相應(yīng)的應(yīng)對措施分別是:

1)責任和數(shù)據(jù)風險。用戶需要確保有一個完全透明的協(xié)議和安全策略,以確保第三方服務(wù)提供商將符合標準來保護其數(shù)據(jù)。

2)用戶身份聯(lián)合。企業(yè)需要使用某些工具來強制執(zhí)行密碼或軟件的安全標準。

3)法規(guī)遵從性。服務(wù)提供商需要確保他們將遵守有關(guān)存儲數(shù)據(jù)的監(jiān)管規(guī)則。

4)業(yè)務(wù)連續(xù)性和彈性。企業(yè)確保在任何停機情況下都有服務(wù)水平協(xié)議以及災(zāi)難恢復(fù)計劃。

5)用戶隱私和數(shù)據(jù)的二次使用。通過MFA或加密,以及制定用戶隱私和數(shù)據(jù)應(yīng)該如何使用的政策。

6)服務(wù)和數(shù)據(jù)集成。企業(yè)需要確保云提供商使用安全套接字層和最新的傳輸安全協(xié)議。

7)多租戶和物理安全。云服務(wù)提供商需要設(shè)置具有邏輯隔離的服務(wù)器,確保每個企業(yè)的基礎(chǔ)設(shè)施是隔離的。

8)發(fā)生率分析和取證。企業(yè)需要了解云服務(wù)提供商如何存儲和處理事件日志。


普普點評

云計算讓我們有機會遠程使用所需的所有服務(wù),并安全地訪問數(shù)據(jù)。然而,云服務(wù)提供商也有被泄露的風險,并導(dǎo)致他們的客戶數(shù)據(jù)暴露。為了保護自己免受潛在威脅,我們需要意識到安全風險。因此,如果企業(yè)在與供應(yīng)商聯(lián)系時,考慮到這些潛在的風險,并制定相應(yīng)的措施,必然能夠為企業(yè)的運營創(chuàng)造更好的安全環(huán)境。

04

普普安全資訊一周概覽(0430-0506)



構(gòu)建基于零信任的數(shù)據(jù)不落地安全體系

隨著數(shù)字經(jīng)濟的快速發(fā)展,傳統(tǒng)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,這改變了應(yīng)用資源的訪問方式,也帶來了核心數(shù)據(jù)被攻擊導(dǎo)致泄露的安全風險.

零信任代表了新一代的網(wǎng)絡(luò)安全防護理念,它的關(guān)鍵在于打破默認的“信任”,其核心理念是“持續(xù)驗證,永不信任”。與傳統(tǒng)數(shù)據(jù)安全方案相比,基于零信任的數(shù)據(jù)不落地方案在確保第三方人員數(shù)據(jù)共享使用的同時,通過數(shù)據(jù)資源隔離、細粒度授權(quán)控制、數(shù)據(jù)審批、多維審計等機制,將數(shù)據(jù)的共享和流轉(zhuǎn)進行控制,實現(xiàn)數(shù)據(jù)所有權(quán)和使用權(quán)分離。整個體系依據(jù)等保2.0和《數(shù)據(jù)安全法》等要求,設(shè)計并構(gòu)建覆蓋數(shù)據(jù)訪問安全、數(shù)據(jù)交換與傳輸安全、訪問控制、數(shù)據(jù)使用申請與管理的一站式數(shù)據(jù)安全管控方案;基于零信任安全理念,將數(shù)據(jù)使用權(quán)和數(shù)據(jù)所有權(quán)分離,構(gòu)建虛擬隔離的數(shù)據(jù)資源安全邊界,防止數(shù)據(jù)泄露、數(shù)據(jù)篡改等事件發(fā)生,打造零信任架構(gòu)下的新一代數(shù)據(jù)安全管控和隔離方案,實現(xiàn)數(shù)據(jù)傳輸、使用、共享安全。


普普點評

將零信任架構(gòu)引入到數(shù)據(jù)安全防護體系中,可以將動態(tài)訪問控制、最小化授權(quán)、網(wǎng)絡(luò)隱身等與數(shù)據(jù)不落地技術(shù)有機結(jié)合起來,讓數(shù)據(jù)隔離和統(tǒng)一管控變得簡單。數(shù)據(jù)的訪問用戶無法直接接觸到目標數(shù)據(jù)資源,僅可以通過受控的“安全盤”訪問虛擬的投影目標。此種解決方案可應(yīng)用于各類數(shù)據(jù)開放、共享交換等業(yè)務(wù)場景,滿足數(shù)據(jù)不落地、防勒索病毒、遠程瀏覽器隔離(RBI)等安全需求。

05

普普安全資訊一周概覽(0430-0506)



Gartner 2022安全與風險趨勢

趨勢1:受攻擊面擴大。信息物理系統(tǒng)和物聯(lián)網(wǎng)的使用、開源代碼、云應(yīng)用、復(fù)雜的數(shù)字供應(yīng)鏈、社交媒體等引發(fā)的風險使企業(yè)暴露出的受攻擊面超出了其可控資產(chǎn)的范圍。

趨勢2:數(shù)字供應(yīng)鏈風險。Gartner預(yù)測,到2025年全球45%的企業(yè)機構(gòu)將遭受軟件供應(yīng)鏈攻擊,相比2021年增加3倍。

趨勢3:身份威脅檢測和響應(yīng)。攻擊者正在瞄準針對身份和訪問管理基礎(chǔ)設(shè)施,通過憑證濫用發(fā)起攻擊。

趨勢4:分布式?jīng)Q策。為了滿足數(shù)字業(yè)務(wù)的范圍、規(guī)模和復(fù)雜性,需要將網(wǎng)絡(luò)安全決策、責任和問責制度分散到整個企業(yè),避免職能的集中化。

趨勢5:超越安全意識培訓(xùn)。企業(yè)機構(gòu)正在投資于整體安全行為和文化計劃(SBCP),取代過時的以合規(guī)為中心的安全意識宣傳活動。

趨勢6:廠商整合。擴展檢測和響應(yīng)、安全服務(wù)邊緣和云原生應(yīng)用保護平臺等新的平臺策略正在加速釋放融合解決方案的效益。

趨勢7:網(wǎng)絡(luò)安全網(wǎng)格。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)有助于提供一個通用的集成式安全架構(gòu)和態(tài)勢來保證所有本地、數(shù)據(jù)中心和云端資產(chǎn)的安全。


普普點評

Gartner發(fā)布的主要網(wǎng)絡(luò)安全趨勢并非孤立存在,而是相互依存和加強。安全和風險管理領(lǐng)導(dǎo)者需要應(yīng)對七大趨勢,才能保護企業(yè)不斷擴張的數(shù)字足跡免受2022年及以后新威脅的影響。并且它們將共同幫助首席信息安全官推動自身角色的演變,從而應(yīng)對未來的安全和風險管理挑戰(zhàn),并繼續(xù)提升他們在企業(yè)機構(gòu)中的地位。

06

普普安全資訊一周概覽(0430-0506)



企業(yè)如何做好員工安全意識提升

近年來隨著網(wǎng)絡(luò)安全政策、技術(shù)的不斷發(fā)展,員工安全意識薄弱已經(jīng)成為企業(yè)面臨的最大風險。提高員工安全意識,做好安全教育工作刻不容緩。結(jié)合國內(nèi)外安全意識提升的資料來看,不難發(fā)現(xiàn)安全意識的提升主要從兩個方面進行:安全培訓(xùn)和模擬演習(xí)。以下就如何做好安全培訓(xùn)和模擬演習(xí)需要關(guān)注的多項指標進行敘述。

1.安全培訓(xùn)關(guān)鍵指標。大多數(shù)的企業(yè)均在安全方面都做過或多或少的培訓(xùn)工作,來確保發(fā)生安全事件人員有足夠的能力和應(yīng)急措施去應(yīng)對。但是為什么在這么多工作的前提下,員工在遇到真實的釣魚攻擊還是會大片的淪陷?這是因為員工沒有養(yǎng)成防釣魚的潛意識以及不同場景下的思考決策能力。綜合學(xué)習(xí)整理國外兩大安全意識培訓(xùn)公司的方案,給出以下三大指標:1)課程完成率;2)知識吸收轉(zhuǎn)換率;3)非測試期間活動檢測率。

2. 網(wǎng)絡(luò)釣魚演練關(guān)鍵指標。除去安全培訓(xùn),最直接檢測員工安全意識的辦法就是進行模擬釣魚演練。通過打開率、點擊率、上報率和彈性系數(shù)等四項指標,他們從不同維度和場景體現(xiàn)出了實施者的技術(shù)、員工的安全意識、組織的安全建設(shè)完善程度。


普普點評

在眾多的安全防御手段中,通過網(wǎng)絡(luò)釣魚演習(xí)提高員工安全意識和釣魚郵件識別能力,是在當前防御愈演愈烈的網(wǎng)絡(luò)安全形勢下,最經(jīng)濟的一種防御手段。因此未來企業(yè)安全建設(shè)工作中,要做到有效提升員工安全意識,就需要做到網(wǎng)絡(luò)釣魚演習(xí)標準化、指標化,員工安全意識可度量。

07