遠程工作環(huán)境中的可視性與威脅檢測
在新冠疫情開始之初,當世界各地的政府下達居家令時,我們很難想象工作狀態(tài)會發(fā)生永久改變。不過,隨著組織迅速采用和擴展系統(tǒng),以支持在短短三周內規(guī)模翻了一番的遠程員工隊伍之后,公司文化也開始發(fā)生轉變。隨著員工開始適應遠程工作模式,許多員工已經向他們的雇主證明,他們居家辦公也可以保持與之前一樣的高效率,甚至在某些情況下還可以提高工作效率。
由于這種被迫進行的嘗試,許多專家和管理人員現(xiàn)在預測:這種靈活的居家辦公策略將會繼續(xù)存在。Gartner 的研究表明,有 41% 的員工將會繼續(xù)居家辦公,而在新冠疫情發(fā)生之前這一比例只有 30%。此外,已有 13% 的首席財務官 (CFO) 開始削減用于辦公空間的房地產支出。隨著遠程工作模式的持續(xù),安全專家需要采用相應的方法來維持已在消失多年的網絡外圍中幾乎不存在的可視性、監(jiān)控和威脅檢測。
盡管存在新的盲點,但在以下四個關鍵領域中,集中式安全信息和事件管理 (SIEM) 解決方案可以幫助安全團隊重新獲得并提升可視性與監(jiān)控。
電子郵件
有針對性的攻擊者擅長編寫極具吸引力的網絡釣魚電子郵件,而且他們的技巧會越來越純熟。電子郵件是需要予以監(jiān)控的最重要的威脅媒介之一,因為在進入組織網絡的惡意軟件中,有 94% 的惡意軟件都是通過網絡釣魚來交付的。若要盡早了解這些威脅,更重要的是,若要準確跟蹤網絡釣魚電子郵件打開后發(fā)生的情況,安全團隊需要獲得對整個組織中所發(fā)生情況的集中視圖。
為此,安全運營中心 (SOC) 團隊可以將相關電子郵件事件和網絡流量的組合信息發(fā)送到集中式 SIEM 解決方案進行分析。通過攝入和分析電子郵件事件或電子郵件安全事件(例如來自 Proofpoint 或 Cisco IronPort 的事件),安全分析人員可以更有效、更全面地查看基于電子郵件的威脅。
為了獲得更深入的洞察力,分析人員還可以利用網絡分析功能來提取其他屬性,例如電子郵件發(fā)件人、附件名稱、文件哈希和 URL,然后將這些屬性與威脅情報進行實時關聯(lián)。如此一來,這種網絡級洞察力可以針對可能預示著網絡釣魚攻擊的已知威脅和可疑屬性提供早期可視性并警報。
端點
在大規(guī)模轉向遠程工作模式之前,公司通常可以分為兩種類型:
· 一種是那些幾乎完全采用辦公室工作模式,其用戶使用臺式機進行工作的公司,
· 而另一種是那些支持遠程工作模式,其筆記本電腦上的用戶可以通過虛擬專用網絡連接到網絡的公司。
當員工幾乎完全轉向遠程工作模式時,他們都會面臨諸多挑戰(zhàn)。之前采用辦公室工作模式的組織需要迅速弄清楚如何為遠程員工啟用核心服務和應用,而且在某些情況下,還需要首次部署虛擬專用網絡。支持遠程工作模式的公司會發(fā)現(xiàn)虛擬專用網絡 使用量激增,網絡不堪重負且速度大大降低,從根本上迫使用戶不得不脫離 虛擬專用網絡 來維持生產效率。從安全角度來看,兩種情況都在端點和用戶活動方面引入了大量盲點。
若要重新獲得可視性,安全團隊可以結合采用端點操作系統(tǒng) (OS)、虛擬專用網絡 和端點檢測與響應 (EDR) 事件來進行威脅檢測。借助 Windows、macOS 和 Linux 的本地日志記錄,安全團隊可以洞悉端點級別發(fā)生的情況。通過使用 Sysmon 擴展 Windows 事件日志記錄,團隊可以獲得更深入的威脅相關洞察力,例如流程活動和域名系統(tǒng) (DNS) 請求。
對于使用 EDR 解決方案(例如 Carbon Black 或 CrowdStrike)的組織,可以將端點安全事件發(fā)送到集中式 SIEM 解決方案,并與其他企業(yè)數(shù)據(jù)相關聯(lián),以實現(xiàn)端到端威脅可視性。一旦 EDR 與 SIEM 進行了緊密集成,便可以直接從 SIEM 界面啟動響應操作。最后,當用戶登錄 虛擬專用網絡 或通過基于風險的身份驗證訪問應用時,這些解決方案可以洞悉有關端點位置、MAC 地址、用戶代理以及其他有價值的信息,進而提供這是否是真實用戶的洞察力。
一旦通過單個位置收集了這些寶貴的數(shù)據(jù),安全團隊便可運用一系列機器學習和基于相關性的分析來檢測已知和未知威脅。對于安全運營團隊而言,尋找可提供預構建安全用例和分析的 SIEM 供應商尤為有用,這樣他們就不必花費時間和金錢從頭開始研究和開發(fā)這些產品。
應用
應用活動的監(jiān)控應是團隊的主要重點,因為與監(jiān)控端點不同,組織即使在網絡之外也仍然可以控制應用活動。應用監(jiān)控還有助于暴露網絡中已存在的攻擊者。應用監(jiān)控可以在多個級別上執(zhí)行:
· 通過身份即服務 (IDaaS) 解決方案(例如 Cloud Identity Connect 或 Okta 登錄時。
· 直接通過 SAP、SalesForce.com 或 Office 365 等應用登錄、注銷時。
· 通過 Zscaler 等云訪問安全代理 (CASB) 解決方案來監(jiān)控誰正在訪問或試圖訪問哪些應用。
· 直接在應用堆棧內,包括 OS 容器編排平臺(如 Kubernetes)、容器本身和這些環(huán)境中的 API 調用。
除了在每個級別上監(jiān)控和分析事件之外,網絡監(jiān)控還可以提供有關應用數(shù)據(jù)如何在網絡中流動、哪些人員和對象連接到了這些系統(tǒng)以及是否發(fā)現(xiàn)了異常流量的詳細洞察力。這一新增的洞察層可以增強現(xiàn)有的可視性和洞察力,幫助安全團隊更快發(fā)現(xiàn)一些可疑活動,例如受害帳戶和橫向移動數(shù)據(jù)滲透嘗試等。此外,當攻擊者獲得足夠的控制權,進而成功地使用檢測規(guī)避技術(例如禁用日志記錄)時,網絡監(jiān)視可能會特別有用。作為高度可靠的事實來源,網絡數(shù)據(jù)可以顯示系統(tǒng)和應用何時處于聯(lián)機狀態(tài),即使它們沒有發(fā)送日志,也可以繼續(xù)提供針對這些系統(tǒng)和應用運行狀況的可視性。
云
由于許多物理數(shù)據(jù)中心暫時關閉,因此組織迫切需要將 IT 系統(tǒng)的現(xiàn)場物理維護需求降至最低。許多組織已迅速加速了云基礎架構的采用,為其工作負載和應用提供支持,以維持業(yè)務連續(xù)性。由于許多此類遷移已經進行了規(guī)劃(通常只是按照隨后的時間表進行),因此大多數(shù)安全團隊都應期望這些投資能夠繼續(xù)保持。
為了更早地了解這些環(huán)境中的風險和威脅,安全團隊可以監(jiān)控一系列事件,包括用戶活動、應用活動以及資源和配置更改。幸運的是,主要的公有云供應商(例如 AWS、IBM、Azure 和 Google Cloud))均提供了豐富的日志、事件和網絡流數(shù)據(jù)集,這些可引入到集中式 SIEM 解決方案之中,進而實現(xiàn)內部和多云環(huán)境中的可視性和檢測。
通過攝入此類數(shù)據(jù)并對其運用安全用例,分析人員可以獲得有關多種可疑活動的洞察力,例如:
· 異常的用戶和帳戶活動,例如異常的身份驗證活動、來自不同地理位置的多次登錄或可疑的根用戶活動。
· 異常的工作負載活動,包括異常的 API 調用、可疑的容器活動或訪問資源的非標準服務。
· 高風險配置更改,例如可疑的 IAM 或安全組策略更改、S3 存儲區(qū)策略更改或新證書或更改的證書。
· 可疑的資源更改,例如非標準的虛擬私有云 (VPC) 或 EC2 實例,或者 EC2 實例的數(shù)量或大小的快速增加。
盡管許多云提供商都可提供自己的原生安全功能,但其產品卻無法集中查看跨環(huán)境的安全數(shù)據(jù),導致分析人員不得不在復雜的數(shù)據(jù)孤島中工作。如今,有 62% 的公有云采用者使用兩個或多個公有云;平均而言,每個組織使用 4.8 個獨立的公有云和私有云環(huán)境。對于疲于應對不斷增長的工作負載的分析師來說,獲得集中式的云可視性以及在威脅通過不同環(huán)境時對其進行自動分析、檢測和跟蹤的能力至關重要。能夠跨云和內部環(huán)境攝入和分析事件和流數(shù)據(jù)的集中式 SIEM 解決方案,可幫助分析師在威脅升級并造成嚴重損害之前快速、更有效地檢測威脅。
總結
由于正在快速轉移到遠程工作模式,許多 IT 組織現(xiàn)在已經部署了支持遠程員工的技術。在過去的數(shù)月中,員工已經證明他們居家辦公也可以保持較高的生產效率。隨著我們邁向新常態(tài),即將發(fā)生的一項明顯變化就是更加靈活、對遠程友好的工作策略。在此情況下,安全運營團隊需要一種可持續(xù)的長期戰(zhàn)略,以在具有新盲點且?guī)缀鯖]有任何剩余外圍的網絡上保持可視性和威脅檢測。
通過加倍增加集中式安全分析,特別是網絡釣魚、端點、應用和云安全用例,安全分析人員可以獲得新的洞察力,彌補丟失的可視性并最終幫助增強組織的安全態(tài)勢。在如今安全團隊由于遠程工作而精疲力盡的時代,組織可以考慮部署具備以下優(yōu)勢的 SIEM 解決方案:能夠在任何環(huán)境(包括 SaaS 或公有云)中運行、能夠提供預構建用例,讓檢測變得更輕松并提高總體價值,同時能夠提供與 SOAR 解決方案(如 Resilient)的緊密集成,進而加快端到端威脅檢測、調查和響應周期。
