當前�,企業(yè)組織面臨越來越多的網(wǎng)絡安全威脅��,在資源和專業(yè)人才有限的情況下����,借助新一代安全技術實現(xiàn)企業(yè)安全運營工作自動化成為企業(yè)的必然選擇。SOAR(安全編排自動化與響應)技術因其在安全自動化響應方面獨具優(yōu)勢���,能夠幫助企業(yè)解決安全事件響應過程中人員短缺����、改進警報分類質(zhì)量和速度等問題�,受到更多企業(yè)用戶的關注�����。
從實戰(zhàn)角度看�,SOAR 有三個核心思想:一是安全分析處置經(jīng)驗總結(jié)固化重用;二是安全分析處置操作盡可能自動化����;三是 SIEM、安管����、態(tài)勢感知等產(chǎn)品的能力延伸。SOAR 建設不是一蹴而就的�����,按照經(jīng)驗其合理的推進過程為:首先�,建立 SIEM��、安管�、態(tài)勢感知等平臺�����,匯聚安全數(shù)據(jù)���,建立專業(yè)安全運營團隊���,實現(xiàn)安全數(shù)據(jù)集中化研判分析;其次����,建立 SOAR 平臺,將安全運營團隊中最常開展的研判分析任務固化為劇本�����,開展自動化輔助研判���;最后����,完善 SOAR 劇本庫,根據(jù)大部分安全運營團隊工作����,梳理可固化的劇本,接入所需聯(lián)動對象�����,提升完善 SOAR 劇本庫���,最大化地開展自動化運營。
SOAR 的本質(zhì)是通過安全編排����、自動化與響應技術將安全運營相關的人、技術和流程進行整合��,有序處理多源異構(gòu)數(shù)據(jù)�,持續(xù)進行安全告警分診與調(diào)查、攻擊分析�、威脅處置、事件響應�,衡量并改善安全運營效率、簡化安全運營管理、為安全團隊賦能����。其短期目標是實現(xiàn)手動任務和重復性任務的自動化,縮短威脅的補救時間����,長期目標是從綜合安全運營視角找到可以量化、標準化的抓手去提升安全運營成熟度�����。
調(diào)研機構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報告中指出�,只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專門的內(nèi)部威脅計劃,25%企業(yè)則將支出用于防范外部威脅���。內(nèi)部威脅計劃協(xié)調(diào)不同業(yè)務部門的政策�、程序和流程���,以應對內(nèi)部威脅�。它被廣泛認為對緩解內(nèi)部威脅至關重要�����,企業(yè)該如何開始構(gòu)建內(nèi)部威脅計劃呢?
首先�����,企業(yè)需要專門的工作組來幫助指導內(nèi)部威脅計劃����。工作組成員需要有明確的角色和責任,并采用同一套道德準則或簽署保密協(xié)議�����。這是因為有許多與員工隱私和監(jiān)控相關的法律����,以及在制定和執(zhí)行政策時必須考慮的法律和擔憂。工作組的第一項工作將是制定運營計劃��,并制定防范內(nèi)部威脅政策的高級版本�。然后���,他們需要考慮如何盤點和訪問內(nèi)部和外部數(shù)據(jù)源���。為此,工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集����、整合和分析數(shù)據(jù)所需的流程和程序,應該根據(jù)數(shù)據(jù)的用途對數(shù)據(jù)進行標記�����。
實施內(nèi)部威脅計劃的目的是確保不僅業(yè)務���、數(shù)據(jù)或流程受到保護���,而且員工也受到保護。通過秘密監(jiān)控工作流���,可以更準確地標記危害指標�,幫助防止事件升級��。但是�����,當不可想象的事情發(fā)生時��,如果毫無戒心的員工泄露了敏感數(shù)據(jù),那么擁有強大的可防御流程(這些流程已經(jīng)記錄了事件)����,就可以更輕松地進行數(shù)字取證調(diào)查,并迅速解決問題�����。
數(shù)字化讓世界變得越來越小���,信息變的越來越有價值����,數(shù)字化也增加了帳號信息泄露��、計算機遭竊取及劫持等風險����,主要是惡意軟件攻擊、勒索錢財�,不過并非沒有辦法�����,跟隨五項安全基本原則幫您抵御惡意/勒索軟件攻擊。
1.了解常見的網(wǎng)絡釣魚例子�。用來網(wǎng)絡釣魚的電子郵件通常還包含附件或鏈接,建議不要打開這些可疑的電子郵件并且立即將它刪除����。
2. 設置雙重身份驗證。大多數(shù)的服務現(xiàn)在都提供雙重身份驗證功能����,尤其是涉及敏感個人數(shù)據(jù)時,以防黑客攻擊���。
3. 部署SSL證書以確保安全���。部署SSL證書,網(wǎng)站實現(xiàn)https加密���,可以驗證網(wǎng)站的真實性�,辨別釣魚網(wǎng)站�����。
4. 避開可疑鏈接��、郵件和附件。平時在上網(wǎng)時一定要謹慎����,千萬要避開這些不安全的鏈接、郵件或附件���。
5. 彌補系統(tǒng)漏洞����。定期全面檢查企業(yè)現(xiàn)行辦公系統(tǒng)和應用���,發(fā)現(xiàn)漏洞后�,及時進行系統(tǒng)修復����,避免漏洞被黑客利用造成機密泄露。
隨著安防行業(yè)大聯(lián)網(wǎng)����、大集成趨勢的日益明顯,視頻監(jiān)控等領域產(chǎn)生的數(shù)據(jù)也越來越多��,安防大數(shù)據(jù)得到不斷提升。我們的生活到處都是信息采集設備����,甚至一臺智能電視�����、智能冰箱�����,都能實時采集用戶的數(shù)據(jù)和信息��,每一個智能產(chǎn)物都可能面臨數(shù)據(jù)安全的威脅����。而還是有很多企業(yè)和用戶并沒有關注到網(wǎng)絡安防的重要性,為用戶的個人信息安全提供最大限度的保障�����。
卡內(nèi)基梅隆大學軟件工程研究所的研究員 Rachel Kartch建議組織實施四個最佳實踐來緩解 DDoS 攻擊�。
1)使架構(gòu)盡可能具有彈性。組織應分散資產(chǎn)以避免向攻擊者展示有吸引力的目標�����。將服務器部署在不同的數(shù)據(jù)中心,確保數(shù)據(jù)中心位于不同的網(wǎng)絡�����,路徑多樣�����,確保數(shù)據(jù)中心和網(wǎng)絡不存在瓶頸和單點故障�����。
2)部署可以處理 DDoS 攻擊的硬件�����。組織應使用旨在保護網(wǎng)絡資源的網(wǎng)絡和安全硬件中的設置�����。許多下一代網(wǎng)絡防火墻�����、Web 應用程序防火墻和負載均衡器可以防御協(xié)議和應用程序攻擊。還可以部署專業(yè)的 DDoS 緩解設備�。
3)擴大網(wǎng)絡帶寬。如果組織負擔得起���,他們應該擴展帶寬以吸收容量攻擊。對于沒有財務資源來投資更多帶寬的小型組織而言�����,這一步可能很困難��。
4)使用 DDoS 緩解提供商���。組織可以求助于專門響應 DDoS 攻擊的大型提供商��,方法是使用云清理服務來處理攻擊流量���,在流量到達組織網(wǎng)絡之前將其轉(zhuǎn)移到緩解中心。
自2020年以來����, DDoS 攻擊無論是攻擊數(shù)量、攻擊規(guī)模還是使用的攻擊向量數(shù)��,都在大規(guī)模爆發(fā)。根據(jù)Bank InfoSecurity咨詢的安全專家����,公司應該使用基于云的 Web 服務器來處理 DDoS 攻擊的高流量,進行模擬真實世界 DDoS 攻擊的練習����,組織可以采取多種措施來防止攻擊并減輕其影響。在 DDoS 之前制定中斷緩解和響應策略攻擊命中并培訓員工如何識別和響應 DDoS 攻擊���。
企業(yè)數(shù)據(jù)安全管理體系建設“六步走”�����!1)數(shù)據(jù)安全治理評估�����。開展數(shù)據(jù)風險發(fā)現(xiàn)過程——數(shù)據(jù)安全治理評估——才能對自身業(yè)務最核心的數(shù)據(jù)安全風險采取技防監(jiān)測��、控制手段解決���,
2)數(shù)據(jù)安全組織結(jié)構(gòu)建設。在開展組織架構(gòu)建設時�,需要考慮組織層面實體的管理團隊及執(zhí)行團隊���,同時也要考慮虛擬的聯(lián)動小組,所有部門均需要參與安全建設當中
3)數(shù)據(jù)安全管理制度建設��。從業(yè)務數(shù)據(jù)安全需求�����、數(shù)據(jù)安全風險控制需要及法律法規(guī)合規(guī)性要求等幾個方面進行梳理���,最終確定數(shù)據(jù)安全防護的目標、管理策略及具體的標準�����、規(guī)范�、程序等。
4)數(shù)據(jù)安全技術保護體系建設�。具體保護要求及措施,可參照國家相關法律���、法規(guī)�����、標準及自身的數(shù)據(jù)安全相關管理制度��、規(guī)范����、標準執(zhí)行。
5)數(shù)據(jù)安全運營管控建設�����。數(shù)據(jù)安全保障體系因其業(yè)務的持續(xù)性����,需要進行長期性服務,建立完善的數(shù)據(jù)安全運營團隊是必然選擇�。
6)數(shù)據(jù)安全監(jiān)管。公安機關作為監(jiān)管單位�,將依法履職盡責,對數(shù)據(jù)處理者履行數(shù)據(jù)風險監(jiān)測與風險評估等數(shù)據(jù)安全保護義務等行為依法開展監(jiān)督管理���。
數(shù)據(jù)安全保障體系六步走���,共分為數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織結(jié)構(gòu)建設���、數(shù)據(jù)安全管理制度建設����、數(shù)據(jù)安全技術保護體系建設、數(shù)據(jù)安全運營管控建設����、數(shù)據(jù)安全監(jiān)管建設。數(shù)據(jù)安全保障體系建設需要明確“技術”與“管理”并重思路�,把“技術”作為“管理”的延續(xù),即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標����,借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應機制等�����,通過技術手段的不斷進步逐一落實數(shù)據(jù)安全管理目標�。
據(jù)Bleeping Computer消息�,安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動,攻擊者通過使用PDF附件夾帶惡意的Word文檔��,從而使用戶感染惡意軟件����。
類似的惡意軟件傳播方式在以往可不多見�����。在大多數(shù)人的印象中�����,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道���。隨著人們對電子釣魚郵件的警惕性越來越高,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測�����。其中�����,使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一����。在HP Wolf Security最新發(fā)布的報告中,詳細說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具�����,這些宏在受害者的機器上下載和安裝信息竊取惡意軟件。在HP Wolf Security發(fā)布的報告中�����,攻擊者向受害人發(fā)送電子郵件���,附件被命名為“匯款發(fā)票”的PDF文件��,而電子郵件的正文則是向收件人付款的模糊話術��。當用戶打開PDF文件時����,Adobe Reader會提示用戶打開其中包含的DOCX文件����。攻擊者巧妙地將嵌入的Word文檔命名為“已驗證”�����,那么彈出的“打開文件”提示聲明就會變成文件是“已驗證的”��。此時,出于對Adobe Reader或其他PDF閱讀器的信任�,很多用戶就會被誘導下載并打開該惡意文件,惡意軟件也就進入了受害者的電腦中�����。
隨著人們對電子釣魚郵件的警惕性越來越高��,以此對打開惡意Microsoft Office附件的了解越來越多�,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。雖然專業(yè)的網(wǎng)絡安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件�����,但是對于普通用戶來說�����,收到此類PDF文件卻很難解決其中的問題�,往往是在不知情的情況下中招。
數(shù)據(jù)訪問管理是組織進行的一個過程��,用于確定誰可以訪問哪些數(shù)據(jù)資產(chǎn)�。使公司能夠保護機密信息、定義數(shù)據(jù)所有權(quán)并實施托管訪問控制,使用戶能夠?qū)崿F(xiàn)數(shù)據(jù)驅(qū)動的創(chuàng)新�。實施成功的數(shù)據(jù)訪問管理的步驟包括:
1)發(fā)現(xiàn)和分類敏感數(shù)據(jù)。一旦發(fā)現(xiàn)所有數(shù)據(jù)的存儲位置���,需要采取進一步的步驟來標記����、分類和評分它的敏感性�����。當數(shù)據(jù)是正確分類����,可以集中精力保護最敏感的數(shù)據(jù)資產(chǎn)。將能夠更有效地查明資源和工作�����。
2)分配訪問控制���。用在數(shù)據(jù)訪問管理計劃的第一階段完成的風險評估,可以為各個業(yè)務用戶創(chuàng)建訪問控制����。但是��,與其逐個用戶授予訪問權(quán)限���,不如根據(jù)定義的角色、職責和分類來分配權(quán)限�。
3)分析用戶行為。該過程目的是分析業(yè)務用戶如何更改�����、復制���、創(chuàng)建或刪除貴公司系統(tǒng)中的敏感數(shù)據(jù)��。此分析將能夠確定用戶是否有權(quán)進行他們所做的修改以及是否需要撤消任何更改��。
4)審查合規(guī)要求��。對于許多監(jiān)管機構(gòu)來說����,仍然需要通過填寫合規(guī)證書來證明不會違反任何合規(guī)性法規(guī)����。
當公司使用數(shù)據(jù)治理工具時�,數(shù)據(jù)訪問管理會更加有效且勞動強度更低��。數(shù)據(jù)治理工具可以毫不費力地輕松找到數(shù)據(jù)源并將其編目在一個位置���。如果沒有足夠的數(shù)據(jù)訪問管理策略��,數(shù)據(jù)治理計劃將會失敗�����。數(shù)據(jù)訪問不僅僅是保護敏感數(shù)據(jù)���。如果沒有適當?shù)脑L問管理,就不能期望用戶從他們所掌握的數(shù)據(jù)中獲得潛在價值�����。但是�,不能直接參與數(shù)據(jù)管理計劃。就像一個成熟的數(shù)據(jù)治理計劃一樣����,它必須有條不紊地進行衡量和執(zhí)行���。