数据结构
网络
关系型数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究实时响应如何降低网络威胁的风险?
实时威胁信息的重要性
在网络安全方面,时间就是一切,这就是为什么主动而不是被动地打击网络犯罪至关重要的原因。
从内部和外部来源以及自动化和人工生成的来源(包括实时威胁情报)收集新鲜、集中和可操作的信息。例如,暗网论坛、社交媒体、分析师报告和黑客网站。
从不同来源收集的这些实时威胁信息可用于帮助 IT 专业人员(例如 CISO、欺诈经理和 SOC 经理等)更快地响应攻击、更有效地抵御攻击并加强其系统以抵御未来的威胁。事实上,实时威胁信息结合合适的供应商可以将攻击的成功率降低近 97%。
没有 100% 安全的系统
无论您采用多少网络安全解决方案或投入多少资金,都不存在 100% 无懈可击的网络安全。您可以通过减少攻击面并增加入侵网络的成本使其变得更加困难,但最终,一个有决心的攻击者——甚至是一个随机的漏洞利用或网络钓鱼尝试——仍然可能成功。发现和响应网络攻击所需的时间是微不足道的小麻烦和使人衰弱的网络攻击之间的区别。
快速发现和实时响应指南
“快速发现和反应是入侵和违规之间的区别,”备受尊敬的网络安全专家 Richard Bejtlich 在 Twitter 上指出。当预防失败时,妥协是不可避免的,但当阻止对手完成其目的时,违规行为并非确定性事件。
安全不会在发生入侵时结束:每个后续步骤都提供了另一个挫败攻击者的机会。
以下是一些可以帮助安全专业人员快速发现网络威胁并启动快速实时响应以应对威胁的指南 -
列出您团队中的人员名单
拥有具备必要技能以及相关专业知识的合适人员至关重要。任命一名团队负责人,负责整个事件响应。此人应与管理层有直接联系,以便能够迅速做出关键决策,例如在必要时关闭关键系统。
对于规模较小的公司或如果危险不那么严重,您的 SOC 团队或托管安全顾问可能足以应对事件。但是,对于更严重的情况,您应该让组织的其他重要部门参与进来,例如企业传播和人力资源部门。
识别和确认来源
您组建的 IR 团队首先应尝试找出导致违规的原因,然后确保对其进行控制。各种迹象将提醒安全专业人员事件正在发生或已经发生,包括 -
SIEM 或其他安全解决方案根据日志数据分析提供警报 用户、系统管理员、网络管理员、安全员工以及来自您业务内部的其他人员报告安全问题的症状。
文件完整性检查软件使用哈希方法来识别关键文件是否已被更改。
反恶意软件。
应以系统的方式评估日志(包括与审计相关的数据),以搜索异常或可疑的行为 -
用户
外部硬盘存储
实时内存
网络上的设备
计算机操作系统
云计算服务
应用程序
恢复和控制
安全漏洞类似于森林大火。在确定事件的来源后,您需要控制损害。这可能包括阻止对疑似感染病毒或其他恶意软件的机器的网络访问(以便可以将其隔离)并应用安全更新以解决恶意软件或网络漏洞。
您可能还需要更改其帐户被入侵的用户或可能对攻击负责的内部人员的银行帐户的密码。此外,您的团队应备份任何受影响的系统,以保留其当前状态以供将来调查。然后,如果需要任何服务恢复,请继续。
确定损害程度
在尘埃落定之前,可能无法理解事件的严重性和其造成的损害的程度。通常检查事件的原因。在涉及成功的外部攻击者或恶意内部人员的情况下,将事件视为更严重。在适当的时候检查启动全面网络归因调查的利弊。
启动通知程序
当敏感、受保护或机密信息泄露时,就会发生数据泄露,它会被未经授权的人员复制、传播、查看、窃取或使用。通知受影响的人员,以便他们可以采取措施保护自己免受身份盗窃或数据泄露的其他负面影响。
结论
网络攻击有可能在网络中传播,并且随着每一分钟未被注意而造成更大的损害。但是,为了正确识别实时威胁,您需要平台、情报和专业人员的正确组合。
混合和多云环境的动态特性以及大量的威胁使得使用旧技术或手动程序进行监控几乎变得不可行。机器学习算法和人工智能对于评估网络流量和活动以发出安全警报至关重要。网络安全专家然后可以专注于特定的安全问题并采取必要的措施来预防或击败攻击。
192 次查看
