問題在于,面對如此大量的數(shù)據(jù),安全專業(yè)人員可能會不知所措,難以整理數(shù)據(jù)進行分析。然而,最常見的是,他們發(fā)現(xiàn)很難理解每個數(shù)據(jù)點的含義、其含義以及如何將警報轉(zhuǎn)化為行動。雖然監(jiān)控和收集日志以監(jiān)控網(wǎng)絡(luò)活動是一種很好的做法,但如果沒有人理解它們,這樣做真的有意義嗎?那么,數(shù)據(jù)如何幫助改進網(wǎng)絡(luò)安全策略呢?
保護網(wǎng)絡(luò)
今天,很少有網(wǎng)絡(luò)攻擊是在單個端點上進行的。幾乎所有人都必須穿越網(wǎng)絡(luò),如果該網(wǎng)絡(luò)沒有得到適當(dāng)?shù)谋Wo,黑客可以在離開之前進入并造成嚴(yán)重破壞。然而,無論他們是否設(shè)法操縱系統(tǒng)日志,裝備精良的分析師仍然能夠查看網(wǎng)絡(luò)數(shù)據(jù)并確定到底發(fā)生了什么。網(wǎng)絡(luò)是最重要證據(jù)的居所,也是通往公司心靈和大腦的最佳途徑。如果受到損害,它們可能會破壞運營,導(dǎo)致嚴(yán)重的財務(wù)影響和聲譽損失。因此,至關(guān)重要的是IT團隊了解健康的網(wǎng)絡(luò)是什么樣子,然后才能通過定期監(jiān)控和主動威脅搜尋來發(fā)現(xiàn)異常并縮小差距。轉(zhuǎn)向以數(shù)據(jù)為核心的更主動的網(wǎng)絡(luò)安全策略是保護企業(yè)免受不斷發(fā)展和日益復(fù)雜的網(wǎng)絡(luò)威脅的最佳實踐。
增強端點安全性
雖然大多數(shù)黑客以網(wǎng)絡(luò)本身為目標(biāo)以獲取對組織資產(chǎn)的訪問權(quán)限,但有些黑客確實首先利用端點漏洞然后滲透網(wǎng)絡(luò)。家庭和商業(yè)設(shè)備都極易受到網(wǎng)絡(luò)犯罪的影響。從傳統(tǒng)惡意軟件到網(wǎng)絡(luò)釣魚攻擊,只需一個可疑鏈接即可傳播病毒并危害系統(tǒng)。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的不斷增加、BYOD趨勢的持續(xù)流行和工作模式的不斷變化,IT團隊需要深入了解每個端點,以保護其免受橫穿企業(yè)網(wǎng)絡(luò)的威脅。無論團隊決定采用不同的防病毒、URL過濾還是額外的應(yīng)用程序控制,這些決定都必須基于證據(jù)來確保實施的安全實踐確實能夠最大限度地降低網(wǎng)絡(luò)攻擊的風(fēng)險。
加快事件響應(yīng)速度
由于大多數(shù)人現(xiàn)在都以他們生活的某些身份在網(wǎng)上進行操作,因此可以肯定會發(fā)生事件。當(dāng)它們發(fā)生時,它們中的任何一個都不應(yīng)被忽略。數(shù)據(jù)在這里很關(guān)鍵,因為除非他們有數(shù)據(jù)要分析,否則事件響應(yīng)者無法開始調(diào)查。但是,即使他們有數(shù)據(jù),如果他們無法理解,他們將如何處理?可悲的事實是:什么都沒有。隨著調(diào)查的延遲,公司正在向眾多危險敞開大門。如果有更多的時間,黑客可以破壞系統(tǒng),竊取或破壞更敏感的數(shù)據(jù),或者隱藏在網(wǎng)絡(luò)中。緩慢的響應(yīng)也可能導(dǎo)致危險的大量積壓,尤其是當(dāng)高優(yōu)先級和嚴(yán)重警報進入堆中時。因此,事件響應(yīng)的速度對于保護組織數(shù)據(jù)免受入侵者的侵害至關(guān)重要。
有效的法醫(yī)調(diào)查
無論是在現(xiàn)實世界還是虛擬世界,調(diào)查犯罪現(xiàn)場都不是一件容易的事。然而,構(gòu)建一個關(guān)于發(fā)生的事情和原因的完整故事是每個網(wǎng)絡(luò)安全戰(zhàn)略的一個非常重要的部分。通過過濾數(shù)千個數(shù)據(jù)日志并提取元數(shù)據(jù),安全團隊需要收集盡可能多的網(wǎng)絡(luò)、端點和系統(tǒng)證據(jù)來結(jié)案。最好的網(wǎng)絡(luò)安全工具將有助于訪問精細(xì)的歷史數(shù)據(jù)并理解它來講述事件的故事,使用敘述來提高網(wǎng)絡(luò)安全性并防止未來發(fā)生違規(guī)行為。畢竟,每一次妥協(xié)和每一次數(shù)據(jù)泄露都是一次學(xué)習(xí)體驗,應(yīng)該用來調(diào)整技術(shù)、工具和流程,以提高可見性、改進威脅追蹤并加快檢測速度。
理解噪音
安全團隊可以收到大量警報,告知他們潛在的威脅。其中一些確實是相關(guān)的,而另一些則是低優(yōu)先級的。團隊獲得的噪音越多,錯過重要事情的機會就越大。如果安全團隊沒有被來自多個安全系統(tǒng)指向嚴(yán)重問題的大量通知所淹沒,那么臭名昭著的Target數(shù)據(jù)泄露事件是可以避免的。在Target的案例中,速度因素是阻止違規(guī)行為的關(guān)鍵,或者至少是最小化其影響的關(guān)鍵,但團隊根本無法處理或分類警報。這個問題更為普遍,而且在大公司和小公司中仍然非常普遍。
然而,今天的安全工具不僅為IT部門提供了更好的警報準(zhǔn)確性,還提供了數(shù)據(jù)上下文和額外的支持信息,以加快事件響應(yīng)和進行更有效的調(diào)查。限制噪音水平并顯著提高噪音質(zhì)量有助于更好、更快地做出決策。安全指標(biāo)很復(fù)雜,因此IT團隊使用的工具應(yīng)該提供一定程度的簡化。這樣一來,隨著數(shù)據(jù)變成易于理解、可操作的見解,對網(wǎng)絡(luò)安全戰(zhàn)略的信心就會增強。憑借信心、簡單性和更好的警報優(yōu)先級,網(wǎng)絡(luò)安全團隊可以將他們的方法從被動轉(zhuǎn)變?yōu)橹鲃樱肋h不會錯過潛伏的入侵者。配備正確的工具可以幫助團隊更好地理解安全數(shù)據(jù),成功地防止違規(guī)行為并在未來幾年保護企業(yè)、員工和客戶。
