Gartner分析师Mark Harris近日,网络攻击者将攻击重点转移到实现目标上——从关注感染文件到感染系统,再到感染整个企业。作为网络安全防御者和企业安全专业人员,需要相应改进检测方法,从跟踪文件和哈希值,依靠签名防止早期威胁,转向跟踪其他指标,防止更复杂的攻击。
目前,攻击者正在渗透到企业组织中,并横向移动以完成其任务。无论是通过秘密侦察攻击,还是锁定终点和服务器索取赎金,还是作为企业进入另一个企业的入口点,都显示了网络攻击者的这一趋势特征。因此,我们必须继续改进测试方法,并意识到它不再仅仅是一个触发攻击的控制点或系统,而是涉及整个企业的多个点。企业安全团队需要能够连接这些点,检测来自不同系统和来源的信息,并将数据和操作集成到视图中,以便更全面地了解企业组织面临的威胁,并知道如何防御它们。
扩大检测和响应作为企业全球应用检测和响应的新模式(XDR)它引起了企业安全团队的极大兴趣。XDR扩展测试的目标是将来自内部和外部的不同来源数据结合起来,并将来自各系统的原子事件连接到单个事件中。就像咨询公司一样Frost & Sullivan指出,“由于企业组织通常遵循类似的最佳原则,因此集成是为了实现XDR愿景真的很重要。” 企业组织的所有系统和来源必须能够从正确的工具中提取正确的数据进行验证和检测,最终做出有效的响应。
这听起来很简单,但实际上是企业组织安全检测能力的巨大变化。就其本身而言,包括企业在内的所有内部数据源事件SIEM从表面上看,系统、日志管理存储库、案例管理系统和安全基础设施、内部和云系统似乎是独立的。然而,如果企业安全团队能够总结这些数据,并自动扩展和丰富多个来源(商业、开源、政府、行业和现有安全供应商)的威胁数据,他们将看到完全不同的图片。
当所有这些数据都相互关联并显示在屏幕上,并将看似孤立的不同系统事件聚集在一起,共同完成攻击拼图时,安全团队可以识别整个企业之间的关系,并检测恶意活动。这种整体范围内的这种测试活动自然会促进企业安全团队的深入理解,引发进一步的调查。因此,我们对测试的现代定义还必须包括将相关数据与内部资源(如受影响的用户身份)联系在共享视图中的能力。例如,如果网络犯罪分子的攻击目标包括财务部门、人力资源或最高管理层,这可能表明企业组织构成了更严重的威胁。
例如,一些外部工具MITRE ATT&CK等待框架用途DNS查找、URL恶意软件分析的第三方工具将显示事件中的数据点是否有共同的指标。使用这些工具,安全团队可以了解企业组织是否面临更大的攻击活动,以及需要寻找哪些指标、策略和技术。通过内部和外部数据聚合、相关调查等,不断更新检测定义,覆盖更广泛、更深入的理解,为企业安全团队提供所需的信息,以便更快地实施安全措施,是我们不断改进检测方法的意义,反过来会影响我们对响应的定义。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章