為什么企業需要實時威脅檢測?
雖然公司企業總是希望盡可能快地找出威脅,但理想也總是那么遙不可及。平均來看,駐留時間會持續數月,網絡罪犯有充足的時間逡巡網絡,抽取有價值信息,影響公司、客戶以及雇員。
如果公司沒有實時檢測能力,沒有為這些事件做好準備,那他們就總會處于特別脆弱的狀態。對工具和策略進行重新評估是個不錯的主意。以下是一些最常見的風險事件和能夠幫助你成功應對的建議:
1. 物聯網接入
任何聯網設備都可成為黑客的切入點,隨著越來越多的公司開始使用物聯網設備(IoT),他們需要準備好識別新設備上的潛在攻擊。
正在實現IoT的公司應考慮一下網絡重設計,用強訪問控制將IoT設備與其他內部網絡進行隔離。可以部署異常檢測技術,來給IoT網段和內部及外部網絡的正常行為定個基線。該持續的監視將有助于發現不正常網絡行為。
2. 合作伙伴
塔吉特百貨的大規模數據泄露,就是黑客通過空調公司進入網絡的結果。每當公司向新廠商或合作伙伴授予網絡訪問權的時候,他們都應當密切注意不正常活動。有那么幾個步驟可以有效做到這一點。
首先,優先處理廠商/合作伙伴訪問公司資源的管理和安全,勤于在合同終止時清除訪問授權。另外,將廠商VPN訪問限制在某已知IP段內,并在內部公布該IP列表。最后,部署分析工具以近實時地檢測來自這些IP地址的異常行為。此外,利用第三方安全風險評級服務(SRS)(《安全領域新概念:安全評級服務的興起》)不失為一個方便快捷的手段。
3. 合并與收購
將兩個之前各自獨立的公司網絡合并起來是個危險的活計。黑客暢游網絡的駐留時間可長達數月。如果有黑客已經侵占了公司A的網絡,通過融合,你也就給了他公司B(及并購后的公司)的鑰匙。
事前準備是規避此類場景的關鍵。在連接基礎設施之前,對每家公司的基礎設施都做個網絡和安全評估。然后,部署分析工具來對網絡行為定個基準,盡快對合并的網絡進行數據記錄以便能監視異常行為。
4. 新增物理位置
無論是新的公司大樓,還是零售門店,或者快餐連鎖,跟著這些新位置而來的基礎設施,都有可能引入新的漏洞。除了添加標準控制,公司面對這種狀況還應該考慮部署分析工具,執行“種群分析”,以確定新位置在其網絡和應用日志數據中展現的行為,是否異于其他地點的行為。
5. 修復或更新軟件
復雜環境中,一個地方的改變,可能會無意地影響到其他某個地方。很多案例都顯示,這可能產生新的漏洞,為黑客開啟方便之門。
成功修復或更新,歸根結底是使用良好的IT規程。比如說,確保跟IT安全團隊溝通計劃好的升級。然后,定義升級后勤勉期,在此期間對安全日志進行額外的詳細審查。
6. 引入新硬件
這可能包含任何硬件,從服務器到新的移動設備。每當向網絡中引入新硬件時,你都會遇到很多之前不知道的東西。而未知之物,就有可能傷害到你。
確保新服務器上運行的所有軟件都打了補丁,是個不錯的實踐。檢查與該硬件或軟件相關的每個已知漏洞。與軟件升級最佳實踐類似,要跟IT安全團隊溝通計劃硬件升級事宜。然后,創建升級后勤勉期,對安全日志進行額外的詳細審查——推薦使用自動化分析工具。
7. 員工入職
很多公司都會在同一時段迎入新人,比如說,在他們招聘并培訓了新的大學畢業生的時候。這種情況下,他們就是在往公司網絡中引入帶有獨特新行為的大量新用戶,可能還有新設備。這些新用戶增加了被黑或數據被泄的機會(無論有意還是無意地)。
面對該成長期的第一步,是強調公司策略和良好IT安全實踐。確保定期強化這些策略和實踐。然后,考慮部署用戶行為分析(UBA)來為新用戶建模,將他們的風險與公司其他員工組做對比。
8. 員工離職
裁員、倒閉或辭職之類的事件——尤其是在非自愿的時候,可能會引發亂流,增加出自熟知公司數據、網絡和應用的員工之手的惡意行為發生機會。
這些敏感時段中,企業應強調身份及訪問管理(IAM)。應勤于清除對所有資源的訪問權,無論是公司內的,還是云端的。最后,定義更新后的勤勉期,使用自動化異常檢測來執行對安全日志的額外審查。
【本文是51CTO專欄作者李少鵬的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
