威胁检测和响应,一直以来都安全工作中很难的一环,并且随着新威胁的出现,这种难度也在不断提升。ESG研究表示,有76%的网络安全从业者认为,当前的威胁检测和响应相比两年前,要难上许多,所以这种情况可能会在未来变得更糟。(笔者就是ESG员工)。
为什么威胁检测和响应这项工作如此具有挑战性?其中一个主要的原因就是很多组织都通过一些列分散、独立的工具来进行处理。
但事实上,ESG研究表明,有66%的组织都认为,基于这种分散独立的处理方式,威胁检测和相应的效果是并不理想的。
想象一下:如果我们每天都必须部署、配置和操作一大堆的工具,每个工具都要提供自己的预警和报告,安全分析师又需要将包括端点安全工具,网络安全工具,威胁情报等在内的各种威胁管理报告拼凑在一起,这将会是一个通过人工多么难以完成的工作。也难怪有那么多恶意软件经常在网络上已经存在了数百天以后才被人发现。
显然,CISO们已经认识到了这个问题,并开始采取积极的行动。事实上,也已经有66%的组织开始积极整合他们安全供应商和产品。
CISO希望将5种关键的网络安全工具集成到1个工具中
这个思路意味着什么?研究表明,企业组织仅需要部署一个威胁检测和响应技术架构,就能够集成五项关键的安全能力。
1、端点检测和响应(EDR)。该技术用于检测端点行为,(即端点进程,DLL,注册表设置,文件活动,网络活动等),它可以为调查人员保留这些行为的记录,也可以通过分析这些信息来识别异常情况并作出警报。
2、网络流量分析(NTA)。NTA也可以监控网络流量、发现异常,找出可疑或存在恶意的行为。NTA在安全分析和调查方面有着悠久的历史,并且仍是SOC重要的组成部分。 有43%的网络安全从业者在受访表示,NTA一直被用作威胁检测的第一道防线。值得注意的是,在包括像Bro / Zeek这样的开源项目中,NTA也发挥着重要的作用。
3、恶意软件沙箱。恶意软件沙箱可以对可疑文件进行分析和处理,通常以设备形式部署,是一种基于云的服务或混合性配置。
4、网络威胁情报(CTI)。组织需要及时和详细的CTI来比较IoC、攻击方式以及技术程序(TTP)。通过威胁情报,安全分析师可以从调查中获得“从外到内”的观点。许多威胁检测和响应技术也会采用MITRE ATT和CK框架来达到类似的目的。
5、中央分析和管理。所有安全预警都是通过集中分析来实现全面分析的,而非来自不同工具给出的警报。通过这种方式,企业可以通过跨端点、网络、文件等关联威胁检测事件,以实现更准确和有效的分析和管理。集中管理的方式在策略管理、配置管理、变更管理等方面作用明显,也简化了安全操作流程。许多威胁检测和响应技术架构还将包括用于案例管理、票务、自动化编排等在内的多种类型的安全操作中。
如何实现网络安全工具的整合
很明显,这五种技术正在以系统的方式进行融合。以我的拙见,这将由以下几点因素驱动:
1、威胁检测和响应平台。许多供应商(即Check Point,Cisco,Fidelis,FireEye,Fortinet,McAfee,Palo Alto Networks,Symantec,Trend Micro等)可以提供部分或全部5种技术的集成架构。ESG研究表明,62%的企业组织更愿意从一家安全厂商那里采购大部分的网络安全技术(和服务),因此,端到端的安全平台也许会是很好的解决方案。
2、API集成。由于“同类最佳”的概念已融入网络安全文化,所以一些企业组织会继续从不同的安全厂商那里购买不同的安全工具,在通过API进行整合。这个过程相比一站式服务更为复杂,不过在API的驱动下,这将会变得容易起来。
3、安全分析集成。查看威胁检测和响应的另一种方法是假设安全控制(即端点安全、网络安全、云工作负载安全、网关等)只是传感器和执行器,换句话说,它们为某些类型的网络安全分析大脑(如SIEM)提供预测,然后根据实时分析接收到的信息来决定采取何种措施。在这个模型中,重心转移到后端,如IBM QRadar、Splunk、Chronicle Security Backstory、Microsoft Azure Sentinel等,OpenC2标准可能会加速这一趋势。
而第四个选项则是上面列出的三个选项的结合,也许是混合了托管服务的元素。虽然这听上去还会令人有些摸不着头脑,但这五种威胁检测和响应技术一定会尽快实现融合。
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
