企業(yè)安全運(yùn)營自動(dòng)化(SOAR)應(yīng)用指南
當(dāng)前,企業(yè)組織面臨越來越多的網(wǎng)絡(luò)安全威脅,在資源和專業(yè)人才有限的情況下,借助新一代安全技術(shù)實(shí)現(xiàn)企業(yè)安全運(yùn)營工作自動(dòng)化成為企業(yè)的必然選擇。SOAR(安全編排自動(dòng)化與響應(yīng))技術(shù)因其在安全自動(dòng)化響應(yīng)方面獨(dú)具優(yōu)勢,能夠幫助企業(yè)解決安全事件響應(yīng)過程中人員短缺、改進(jìn)警報(bào)分類質(zhì)量和速度等問題,受到更多企業(yè)用戶的關(guān)注。
從實(shí)戰(zhàn)角度看,SOAR 有三個(gè)核心思想:一是安全分析處置經(jīng)驗(yàn)總結(jié)固化重用;二是安全分析處置操作盡可能自動(dòng)化;三是 SIEM、安管、態(tài)勢感知等產(chǎn)品的能力延伸。SOAR 建設(shè)不是一蹴而就的,按照經(jīng)驗(yàn)其合理的推進(jìn)過程為:首先,建立 SIEM、安管、態(tài)勢感知等平臺(tái),匯聚安全數(shù)據(jù),建立專業(yè)安全運(yùn)營團(tuán)隊(duì),實(shí)現(xiàn)安全數(shù)據(jù)集中化研判分析;其次,建立 SOAR 平臺(tái),將安全運(yùn)營團(tuán)隊(duì)中最常開展的研判分析任務(wù)固化為劇本,開展自動(dòng)化輔助研判;最后,完善 SOAR 劇本庫,根據(jù)大部分安全運(yùn)營團(tuán)隊(duì)工作,梳理可固化的劇本,接入所需聯(lián)動(dòng)對(duì)象,提升完善 SOAR 劇本庫,最大化地開展自動(dòng)化運(yùn)營。
SOAR 的本質(zhì)是通過安全編排、自動(dòng)化與響應(yīng)技術(shù)將安全運(yùn)營相關(guān)的人、技術(shù)和流程進(jìn)行整合,有序處理多源異構(gòu)數(shù)據(jù),持續(xù)進(jìn)行安全告警分診與調(diào)查、攻擊分析、威脅處置、事件響應(yīng),衡量并改善安全運(yùn)營效率、簡化安全運(yùn)營管理、為安全團(tuán)隊(duì)賦能。其短期目標(biāo)是實(shí)現(xiàn)手動(dòng)任務(wù)和重復(fù)性任務(wù)的自動(dòng)化,縮短威脅的補(bǔ)救時(shí)間,長期目標(biāo)是從綜合安全運(yùn)營視角找到可以量化、標(biāo)準(zhǔn)化的抓手去提升安全運(yùn)營成熟度。
企業(yè)如何建立強(qiáng)大的內(nèi)部威脅計(jì)劃調(diào)研機(jī)構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報(bào)告中指出,只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專門的內(nèi)部威脅計(jì)劃,25%企業(yè)則將支出用于防范外部威脅。內(nèi)部威脅計(jì)劃協(xié)調(diào)不同業(yè)務(wù)部門的政策、程序和流程,以應(yīng)對(duì)內(nèi)部威脅。它被廣泛認(rèn)為對(duì)緩解內(nèi)部威脅至關(guān)重要,企業(yè)該如何開始構(gòu)建內(nèi)部威脅計(jì)劃呢?
首先,企業(yè)需要專門的工作組來幫助指導(dǎo)內(nèi)部威脅計(jì)劃。工作組成員需要有明確的角色和責(zé)任,并采用同一套道德準(zhǔn)則或簽署保密協(xié)議。這是因?yàn)橛性S多與員工隱私和監(jiān)控相關(guān)的法律,以及在制定和執(zhí)行政策時(shí)必須考慮的法律和擔(dān)憂。工作組的第一項(xiàng)工作將是制定運(yùn)營計(jì)劃,并制定防范內(nèi)部威脅政策的高級(jí)版本。然后,他們需要考慮如何盤點(diǎn)和訪問內(nèi)部和外部數(shù)據(jù)源。為此,工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集、整合和分析數(shù)據(jù)所需的流程和程序,應(yīng)該根據(jù)數(shù)據(jù)的用途對(duì)數(shù)據(jù)進(jìn)行標(biāo)記。
實(shí)施內(nèi)部威脅計(jì)劃的目的是確保不僅業(yè)務(wù)、數(shù)據(jù)或流程受到保護(hù),而且員工也受到保護(hù)。通過秘密監(jiān)控工作流,可以更準(zhǔn)確地標(biāo)記危害指標(biāo),幫助防止事件升級(jí)。但是,當(dāng)不可想象的事情發(fā)生時(shí),如果毫無戒心的員工泄露了敏感數(shù)據(jù),那么擁有強(qiáng)大的可防御流程(這些流程已經(jīng)記錄了事件),就可以更輕松地進(jìn)行數(shù)字取證調(diào)查,并迅速解決問題。
五項(xiàng)簡單操作 保護(hù)數(shù)據(jù)安全數(shù)字化讓世界變得越來越小,信息變的越來越有價(jià)值,數(shù)字化也增加了帳號(hào)信息泄露、計(jì)算機(jī)遭竊取及劫持等風(fēng)險(xiǎn),主要是惡意軟件攻擊、勒索錢財(cái),不過并非沒有辦法,跟隨五項(xiàng)安全基本原則幫您抵御惡意/勒索軟件攻擊。
1.了解常見的網(wǎng)絡(luò)釣魚例子。用來網(wǎng)絡(luò)釣魚的電子郵件通常還包含附件或鏈接,建議不要打開這些可疑的電子郵件并且立即將它刪除。
2. 設(shè)置雙重身份驗(yàn)證。大多數(shù)的服務(wù)現(xiàn)在都提供雙重身份驗(yàn)證功能,尤其是涉及敏感個(gè)人數(shù)據(jù)時(shí),以防黑客攻擊。
3. 部署SSL證書以確保安全。部署SSL證書,網(wǎng)站實(shí)現(xiàn)https加密,可以驗(yàn)證網(wǎng)站的真實(shí)性,辨別釣魚網(wǎng)站。
4. 避開可疑鏈接、郵件和附件。平時(shí)在上網(wǎng)時(shí)一定要謹(jǐn)慎,千萬要避開這些不安全的鏈接、郵件或附件。
5. 彌補(bǔ)系統(tǒng)漏洞。定期全面檢查企業(yè)現(xiàn)行辦公系統(tǒng)和應(yīng)用,發(fā)現(xiàn)漏洞后,及時(shí)進(jìn)行系統(tǒng)修復(fù),避免漏洞被黑客利用造成機(jī)密泄露。
隨著安防行業(yè)大聯(lián)網(wǎng)、大集成趨勢的日益明顯,視頻監(jiān)控等領(lǐng)域產(chǎn)生的數(shù)據(jù)也越來越多,安防大數(shù)據(jù)得到不斷提升。我們的生活到處都是信息采集設(shè)備,甚至一臺(tái)智能電視、智能冰箱,都能實(shí)時(shí)采集用戶的數(shù)據(jù)和信息,每一個(gè)智能產(chǎn)物都可能面臨數(shù)據(jù)安全的威脅。而還是有很多企業(yè)和用戶并沒有關(guān)注到網(wǎng)絡(luò)安防的重要性,為用戶的個(gè)人信息安全提供最大限度的保障。
對(duì)DDoS 攻擊進(jìn)行防護(hù)的幾種措施卡內(nèi)基梅隆大學(xué)軟件工程研究所的研究員 Rachel Kartch建議組織實(shí)施四個(gè)最佳實(shí)踐來緩解 DDoS 攻擊。
1)使架構(gòu)盡可能具有彈性。組織應(yīng)分散資產(chǎn)以避免向攻擊者展示有吸引力的目標(biāo)。將服務(wù)器部署在不同的數(shù)據(jù)中心,確保數(shù)據(jù)中心位于不同的網(wǎng)絡(luò),路徑多樣,確保數(shù)據(jù)中心和網(wǎng)絡(luò)不存在瓶頸和單點(diǎn)故障。
2)部署可以處理 DDoS 攻擊的硬件。組織應(yīng)使用旨在保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)和安全硬件中的設(shè)置。許多下一代網(wǎng)絡(luò)防火墻、Web 應(yīng)用程序防火墻和負(fù)載均衡器可以防御協(xié)議和應(yīng)用程序攻擊。還可以部署專業(yè)的 DDoS 緩解設(shè)備。
3)擴(kuò)大網(wǎng)絡(luò)帶寬。如果組織負(fù)擔(dān)得起,他們應(yīng)該擴(kuò)展帶寬以吸收容量攻擊。對(duì)于沒有財(cái)務(wù)資源來投資更多帶寬的小型組織而言,這一步可能很困難。
4)使用 DDoS 緩解提供商。組織可以求助于專門響應(yīng) DDoS 攻擊的大型提供商,方法是使用云清理服務(wù)來處理攻擊流量,在流量到達(dá)組織網(wǎng)絡(luò)之前將其轉(zhuǎn)移到緩解中心。
自2020年以來, DDoS 攻擊無論是攻擊數(shù)量、攻擊規(guī)模還是使用的攻擊向量數(shù),都在大規(guī)模爆發(fā)。根據(jù)Bank InfoSecurity咨詢的安全專家,公司應(yīng)該使用基于云的 Web 服務(wù)器來處理 DDoS 攻擊的高流量,進(jìn)行模擬真實(shí)世界 DDoS 攻擊的練習(xí),組織可以采取多種措施來防止攻擊并減輕其影響。在 DDoS 之前制定中斷緩解和響應(yīng)策略攻擊命中并培訓(xùn)員工如何識(shí)別和響應(yīng) DDoS 攻擊。
企業(yè)數(shù)據(jù)安全管理體系建設(shè)“六步走”!1)數(shù)據(jù)安全治理評(píng)估。開展數(shù)據(jù)風(fēng)險(xiǎn)發(fā)現(xiàn)過程——數(shù)據(jù)安全治理評(píng)估——才能對(duì)自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險(xiǎn)采取技防監(jiān)測、控制手段解決,
2)數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)。在開展組織架構(gòu)建設(shè)時(shí),需要考慮組織層面實(shí)體的管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì),同時(shí)也要考慮虛擬的聯(lián)動(dòng)小組,所有部門均需要參與安全建設(shè)當(dāng)中
3)數(shù)據(jù)安全管理制度建設(shè)。從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。
4)數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)。具體保護(hù)要求及措施,可參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。
5)數(shù)據(jù)安全運(yùn)營管控建設(shè)。數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性,需要進(jìn)行長期性服務(wù),建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊(duì)是必然選擇。
6)數(shù)據(jù)安全監(jiān)管。公安機(jī)關(guān)作為監(jiān)管單位,將依法履職盡責(zé),對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測與風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全保護(hù)義務(wù)等行為依法開展監(jiān)督管理。
數(shù)據(jù)安全保障體系六步走,共分為數(shù)據(jù)安全治理評(píng)估、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)。數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路,把“技術(shù)”作為“管理”的延續(xù),即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo),借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應(yīng)機(jī)制等,通過技術(shù)手段的不斷進(jìn)步逐一落實(shí)數(shù)據(jù)安全管理目標(biāo)。
據(jù)Bleeping Computer消息,安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動(dòng),攻擊者通過使用PDF附件夾帶惡意的Word文檔,從而使用戶感染惡意軟件。
類似的惡意軟件傳播方式在以往可不多見。在大多數(shù)人的印象中,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道。隨著人們對(duì)電子釣魚郵件的警惕性越來越高,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。其中,使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一。在HP Wolf Security最新發(fā)布的報(bào)告中,詳細(xì)說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具,這些宏在受害者的機(jī)器上下載和安裝信息竊取惡意軟件。在HP Wolf Security發(fā)布的報(bào)告中,攻擊者向受害人發(fā)送電子郵件,附件被命名為“匯款發(fā)票”的PDF文件,而電子郵件的正文則是向收件人付款的模糊話術(shù)。當(dāng)用戶打開PDF文件時(shí),Adobe Reader會(huì)提示用戶打開其中包含的DOCX文件。攻擊者巧妙地將嵌入的Word文檔命名為“已驗(yàn)證”,那么彈出的“打開文件”提示聲明就會(huì)變成文件是“已驗(yàn)證的”。此時(shí),出于對(duì)Adobe Reader或其他PDF閱讀器的信任,很多用戶就會(huì)被誘導(dǎo)下載并打開該惡意文件,惡意軟件也就進(jìn)入了受害者的電腦中。
隨著人們對(duì)電子釣魚郵件的警惕性越來越高,以此對(duì)打開惡意Microsoft Office附件的了解越來越多,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。雖然專業(yè)的網(wǎng)絡(luò)安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件,但是對(duì)于普通用戶來說,收到此類PDF文件卻很難解決其中的問題,往往是在不知情的情況下中招。
數(shù)據(jù)訪問管理基礎(chǔ)和實(shí)施策略數(shù)據(jù)訪問管理是組織進(jìn)行的一個(gè)過程,用于確定誰可以訪問哪些數(shù)據(jù)資產(chǎn)。使公司能夠保護(hù)機(jī)密信息、定義數(shù)據(jù)所有權(quán)并實(shí)施托管訪問控制,使用戶能夠?qū)崿F(xiàn)數(shù)據(jù)驅(qū)動(dòng)的創(chuàng)新。實(shí)施成功的數(shù)據(jù)訪問管理的步驟包括:
1)發(fā)現(xiàn)和分類敏感數(shù)據(jù)。一旦發(fā)現(xiàn)所有數(shù)據(jù)的存儲(chǔ)位置,需要采取進(jìn)一步的步驟來標(biāo)記、分類和評(píng)分它的敏感性。當(dāng)數(shù)據(jù)是正確分類,可以集中精力保護(hù)最敏感的數(shù)據(jù)資產(chǎn)。將能夠更有效地查明資源和工作。
2)分配訪問控制。用在數(shù)據(jù)訪問管理計(jì)劃的第一階段完成的風(fēng)險(xiǎn)評(píng)估,可以為各個(gè)業(yè)務(wù)用戶創(chuàng)建訪問控制。但是,與其逐個(gè)用戶授予訪問權(quán)限,不如根據(jù)定義的角色、職責(zé)和分類來分配權(quán)限。
3)分析用戶行為。該過程目的是分析業(yè)務(wù)用戶如何更改、復(fù)制、創(chuàng)建或刪除貴公司系統(tǒng)中的敏感數(shù)據(jù)。此分析將能夠確定用戶是否有權(quán)進(jìn)行他們所做的修改以及是否需要撤消任何更改。
4)審查合規(guī)要求。對(duì)于許多監(jiān)管機(jī)構(gòu)來說,仍然需要通過填寫合規(guī)證書來證明不會(huì)違反任何合規(guī)性法規(guī)。
當(dāng)公司使用數(shù)據(jù)治理工具時(shí),數(shù)據(jù)訪問管理會(huì)更加有效且勞動(dòng)強(qiáng)度更低。數(shù)據(jù)治理工具可以毫不費(fèi)力地輕松找到數(shù)據(jù)源并將其編目在一個(gè)位置。如果沒有足夠的數(shù)據(jù)訪問管理策略,數(shù)據(jù)治理計(jì)劃將會(huì)失敗。數(shù)據(jù)訪問不僅僅是保護(hù)敏感數(shù)據(jù)。如果沒有適當(dāng)?shù)脑L問管理,就不能期望用戶從他們所掌握的數(shù)據(jù)中獲得潛在價(jià)值。但是,不能直接參與數(shù)據(jù)管理計(jì)劃。就像一個(gè)成熟的數(shù)據(jù)治理計(jì)劃一樣,它必須有條不紊地進(jìn)行衡量和執(zhí)行。