Support

防范 高级威胁

在导致服务中断或产生声誉损害之前,查找您网络中的恶意软件和高级威胁。

防范恶意软件和数据外泄

在完善的深度防御策略到位的情况下,攻击如何仍能破坏网络?

目标,马里兰大学和社区医院在 2014 年都遭受了严重的数据外泄。尽管这些机构有多层的安全技术和警报,攻击者仍然能够危害业务,在网络内移动而未被发现并且窃取数据。

当今企业网络的规模和复杂性已经创造了一个巨大的“攻击面区域”,使人们无法阻止威胁网络的每一次攻击。此外,攻击者正在创造非常有针对性的攻击活动——专门针对您的网络而精心研究和设计的一个由攻击、规避技术和模糊组成的组合。

为什么事件响应得到这么多的关注以及为什么我需要它?

事件响应包括对影响您的业务活动做出识别、分析和应对。在安全方面,这可以包括分布式拒绝服务(DDoS) 攻击,数据外泄或网络危害,甚至丢失设备或数据。

事件响应,或至少用于有效 IR(信息检索)的工具和流程,可不仅仅用于解决“事后”问题。通过将工具放置到位以建立您的 IR 网络活动基线,安全团队可以“捕获”表明某些资产已被损害(如僵尸)的网络活动。

通过捕获网络内的威胁,然后分析这些威胁的关键属性,团队可以采取措施尽量减少攻击事件的影响,比如在额外的恶意软件可以安装之前停止僵尸通信或停止数据泄露。此外,这些相同攻击的详细信息可以用来增强安全防御以防止未来的威胁。

“高级攻击”与恶意软件有何不同?

恶意软件是设计成执行某些恶意活动的一种软件。高级攻击是用来描述威胁活动的一个组合——DDoS 攻击、僵尸网络、恶意软件、网络钓鱼——每个在不同的时间执行,针对网络的不同区域。这背后的想法是要利用网络表面区域的任何漏洞来创建一组攻击。如上所述,当今企业网络的复杂性已经创造了一个较大的“表面区域”,其更加难以监控和保护。这些攻击者正在使用定时事件、攻击类型、规避技术和“清理”工具的特别公式,对每个组织和/或预期的结果都是唯一的。

高级攻击的目的在于捆绑您的当前保护技术或者将注意力从网络的一个区域转移到另一个区域。总之,它们就如同其他产品一样被设计和测试,具有特定的用途、特别的买家和期望的设定结果。

现在我可能会受到威胁吗?

很可能—答案是肯定的。如上所述,攻击和攻击工具包就像任何其他的产品一样被制造出,并且也可以购买、出售或像商品一样交易。这些攻击是“新型的”,或使用不能用传统的检测工具识别的不同技术,因而这些攻击会带来更高的价值。很容易开发武器化的工具包——恶意软件或者可以利用网络漏洞的其他攻击——也有很高的需求。并且这些类型的攻击有任意数量的购买者,比如正意欲偷取竞争信息的组织,或者想削弱对方的各个国家,或者甚至有攻击者想发表公开声明反对其认为错误的做法。可能性是无穷无尽的,而且鉴于攻击的动机和不同类型,你的网络遭受攻击的可能性非常大——即使它是“良性的”攻击,在 DDoS 攻击中让你的用户充作一个僵尸网络大军的主力。

使用社交设计(网络钓鱼),欺诈性凭证或其他模糊处理技术的攻击可能已经在你的网络上存在。他们中的一些可以休眠很长时间因而可能难以跟踪,如果攻击者使用窃取的凭证活动可能更加难以检测。

你如何评估事件响应或攻击响应技术的结果?

可评估的结果——显示技术投资的价值——是找到适合你的正确解决方案的关键因素。第一步,要知道“怎样”评估用以确定评估“什么”。这包括优先次序的资产,或许专注于你的业务中最重要的或那些被审计为合规的资产。

同样重要的是,要知道使用什么类型的性能指标来评估。事件响应、安全分析和取证技术对于安全团队而言通常是一个挑战,因为你无法评估“什么停止了”。对于最有效的性能评估,你一定要看关键指标,比如:

  • 时间
    • 从事件发生到发现的时间
    • 从发现到 CERT 报告的时间
    • 从 CERT 报告到事件结束的时间
  • 成本
    • 工作人员的时间、丧失的生产力、通知、额外的软件等等