財(cái)產(chǎn)越有價(jià)值，您就越需要采取更多措施來(lái)保護(hù)它。例如，房屋受到門(mén)窗鎖系統(tǒng)的保護(hù)，但犯罪分子可能竊取的貴重或敏感物品則被更加安全地存儲(chǔ)在上鎖的文件柜或保險(xiǎn)箱中。這為您確實(shí)不希望小偷得到的東西提供了多層保護(hù)。您可以根據(jù)每件物品對(duì)您的價(jià)值以及被盜的可能性來(lái)相應(yīng)地定制每件物品的保護(hù)措施。

您的公司網(wǎng)絡(luò)和數(shù)據(jù)是相同的。保護(hù)網(wǎng)絡(luò)中的寶貴資產(chǎn)需要分層。該策略通常稱(chēng)為深度防御，它提供了旨在防范攻擊的多個(gè)級(jí)別的安全工具和策略。

然而，這些安全系統(tǒng)并不完美，而這正是威脅行為者決心利用的地方。在您的家中，您可能已將珠寶放入保險(xiǎn)箱中，但如果保險(xiǎn)箱沒(méi)有上鎖，任何人都可以進(jìn)入。與您的 SOC 相同。如果您的防御系統(tǒng)存在漏洞，那么有人訪問(wèn)您的數(shù)據(jù)只是時(shí)間問(wèn)題。

害怕打補(bǔ)丁

擁有一個(gè)能夠涵蓋所有類(lèi)型攻擊的最先進(jìn)的安全系統(tǒng)固然很好，但您可能沒(méi)有解決威脅行為者如何訪問(wèn)您的系統(tǒng)或他們正在尋找什么的問(wèn)題。CardinalOps 網(wǎng)絡(luò)防御戰(zhàn)略副總裁 Phil Neray 在 Splunk 的 .conf23 活動(dòng)中表示，對(duì)手不喜歡變化。根據(jù)Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告，被盜憑證和被利用的漏洞仍然是最流行的攻擊媒介。

但是，如果公司內(nèi)部的用戶(hù)陷入網(wǎng)絡(luò)釣魚(yú)詐騙或忽略補(bǔ)丁更新，那么您的層有多堅(jiān)固就不再重要了。威脅行為者會(huì)找到進(jìn)入的方法。

為什么人們忽視補(bǔ)丁？他們擔(dān)心在補(bǔ)丁和更新到位時(shí)系統(tǒng)缺乏可用性。

通過(guò)網(wǎng)絡(luò)移動(dòng)

人們傾向于從上到下或從左到右來(lái)考慮各個(gè)層次——如果你不能在 A 點(diǎn)阻止它們，那么就會(huì)在 B 點(diǎn)進(jìn)行防御。但這往往忽略了威脅行為者在系統(tǒng)內(nèi)的實(shí)際移動(dòng)方式。根據(jù)攻擊類(lèi)型，他們會(huì)移動(dòng)到任何看到漏洞的地方，而錯(cuò)過(guò)一層保護(hù)可能會(huì)削弱防御能力，例如對(duì)存儲(chǔ)在防御良好的金庫(kù)中的密碼進(jìn)行錯(cuò)過(guò)加密。

您的分層防御能力也取決于您檢測(cè)異常或入侵的能力。Neray 提出了在查看分層防御中的檢測(cè)質(zhì)量時(shí)要問(wèn)的四個(gè)問(wèn)題：

• 您在哪里遺漏了檢測(cè)？
• 檢測(cè)是否損壞或噪音太大？
• 如何快速啟動(dòng)新檢測(cè)？
• 您如何利用自動(dòng)化？

Neray 表示，每次檢測(cè)都應(yīng)覆蓋多個(gè)安全層，而不僅僅是一個(gè)位置。

擁抱復(fù)雜的防御

Neray 表示，您需要的不僅僅是層，而是基于組織特有威脅的威脅信息防御。一旦了解了要保護(hù)的內(nèi)容以及這些資產(chǎn)的存儲(chǔ)位置，您就可以構(gòu)建保護(hù)層來(lái)防御這些威脅。