找出配置安全分析的最佳方式,為你的公司產出有意義且具可行性的洞見。
作為IT最新流行詞,“分析”正逐漸滲入IT系統各組件。從用例中收集到關於數據、網絡和用戶行為的分析,我們對此信息有著無窮的利用可能。但是,說到鑽研這些數據以得出安全決策,這種可能包含陷阱的巨量信息,真的那麼有用嗎?為避免掉進分析陷阱,安全專業人士提供了找出最佳安全分析配置方式,以產出有意義且具可行性洞見的建議。
1. 塑造環境,增加“真警報”檢測率
Armor首席安全官傑夫·希林說:“我是‘少數據分析’的支持者。我這麼說的意思是,你應該塑造你的環境,只去查看那些最有可能是真警報的事件。在已知威脅觸及你的安全棧之前就將之擋在門外。要做到這一點,你可以利用IP信譽管理,或者DNS監測/封鎖。這將擋住對你公司80%的非針對性攻擊。”
2. 調整安全事件管理(SIEM)功能
很多安全團隊在處理成千上萬條被自家SIEM認為是高危的事件時舉步維艱,這些所謂的‘高危事件’其實是誤報,或者不過是告訴你安全措施正在起效的通知而已(比如:防火牆規則觸發)。這或許會需要SIEM提供商的專業服務來幫忙,但節省下來的安全團隊非重要警報挖掘工時,卻是很值回票價的。
把安全團隊的精力放在公司最重要的部分吧。要說服企業主不是每件事都值得保護是挺難的,他們自己在告訴你對自家業務部門真正重要的事上也挺掙扎。
3. 在早期階段捕獲威脅
BlueCat首席技術官安德魯·維特金:隨著安全威脅通過多種攻擊方式不斷進化,單純依靠預防性方法緩解已知風險已不足夠。安全分析已成為在安全事件發生後進行鑑證分析的基本工具。然而,只要使用得當,安全分析也可以幫助公司識別可疑行為,無論是內部的還是外部的,並能在潛在風險表現出來之前就主動封禁掉,還能對不斷進化的威脅提供早期預警。
4. 數據並非越多越好
Citrix首席安全官斯坦·布萊克:在構建安全數據池、數據雲和數據集群之前,先搞清自己公司的目的,比如識別詐騙、內部人、惡意行為人、錯誤、誤操作等等。先排出預期結果的優先級,再去看那些不需要分析的數據。技術不會從事網絡犯罪,人才會。有了這個認知,分析通常始於角色挖掘,基於經驗量化出用戶能做、可能會做,或不應該做的事,可以建立起一條用戶底線。通過定義“已知良好”,安全分析便能專注在“未知”和“異常”上來發現潛在威脅。
5. 減少網絡安全警報流入
E8 Security 共同創始人兼首席技術官拉維·德威爾第:建立在全公司通用的閾值/策略上的遺留安全技術,通常會造成過多警報和誤報。行為建模和對網絡中每個用戶、系統、應用、終端制訂基線的安全分析,則會為公司的威脅預防工作帶來最高的準確度。攻擊者行為的檢測,例如被盜憑證、命令與控制流量、後門、公司內網巡遊等,將不再迷失在噪音中。
6. 成為威脅獵手
多虧安全分析的使用,威脅狩獵正成為安全運營的一個新興領域。其與傳統安全的一個重要區別,在於‘威脅狩獵’的目標不是檢測出惡意軟件,而是更傾向於識別出攻擊者的存在、行為和動作,並儘可能快地控制起那些行動。安全分析通過提供對網絡、用戶、終端和應用活動中的行為、模式和異常的可見性,而是威脅狩獵成為可能。
7. 利用上下文減少事件響應時間
安全運營和事件響應團隊在調查安全事件時需要上下文的幫助。安全分析工具能為安全警報和事件調查提供行為情報上下文。跨多個數據孤島快速互動分析當前和歷史行為、模式、異常的能力,能帶來更快的事件分析,消除對技術資源和手動分析(通常使用笨重的SIEM或枯燥的搜索引擎)的依賴。
8. 首先,縮小攻擊範圍,然後,補完分析
Palo Alto Networks 副總裁兼首席信息安全官盧卡斯·穆迪:安全分析帶來了得到更好更有效的檢測識別的希望,讓我們能夠快速響應威脅,挫敗攻擊者,甚至擺脫攻擊者。雖說是個宏偉目標,這一策略的挑戰卻在於規模。安全分析作為結果,必須存在於縮小攻擊範圍的目標背後,與威脅預防的強力戰略性基礎為伍。注重安全的公司,應掀起當前技術利用方式的大變革,實現更強的預防性控制。這麼做,將反過來使得分析能夠以可控可伸縮的方式解決下游風險。強大的威脅分析師很難找到,且他們需要專注在“少量關鍵威脅”而非“噪音”上。
9. 警惕誤報
白帽安全公司威脅研究中心副總裁萊恩·奧利:在任何公司裡,運營安全項目中更困難的方面之一,就是從可信來源獲取正確的安全指標。很多公司都稱自己能提供安全分析,但很少有公司能提供有意義的經驗證的安全統計數據。在Web應用領域,這種現象尤其突出。主要的問題在於,安全工具常常產出超出想象的大量誤報。在購買任何分析之前,一定要確保那家公司在拿出統計數據之前先進行漏洞驗證。另外,問清楚誤報率,這樣你才可以確定提供商的分析有多準確。
10. 用分析支持開銷
安全中最困難的部分,在於合理化對不會產生任何利潤的東西的開支,而分析對此有所幫助。為合理化開支,你需要知道風險和財政影響。通過使用分析,你能展示出遭受攻擊的可能性,以及實現安全並解決問題的開銷。
---
閱讀更多 安全牛 的文章
