2023 年度的網路資安報告:網路資安的主要趨勢 立即下載
攻擊與事件調查系列 觀看影片
收集或分析大量數據資料乃是一個艱苦且耗時的過程,此外,這樣的流程還可能會影響到其最終的成效。目前,企業組織平均會需要 280 天* 才會發現到自己的系統已被外人滲透或有資安漏洞的存在。企業組織在識別威脅和評估風險級別時,大多會考慮到 Mitre Att@ck 架構中近 200 種的獨特策略、技術和程序,考慮的事項如此繁雜,也難怪大家的反應程度如此遲緩。威脅獵捕乃是一件「永無止境」的事項;我們會發現威脅並進行修復,然而,攻擊者也會調整其攻擊手段並重複這樣的循環。不幸的是,這些循環的數量和週期在雲端環境中有著指數級的增長,翻新的速度越來越快;現在,網路資安專業人員必須要能追蹤多個雲端服務供應商和資產。通常而言,企業組織在收到「系統正遭受到攻擊」的警報之前,並不知道其企業網路大多已經出事了。然而,在收到警報後才進行反制可說是為時已晚。想要成功實行資安防護的關鍵在於能否快速地檢測威脅(在某些情況下即時阻止這些攻擊),以減少攻擊者滯留在您網路環境中的時長並在其中造成危害的可能性。
透過採取主動且有條理的資安策略,您將可以識別這些攻擊並及時進行修復。想要做到這一點的話,您必須要開始進行觀察、搜集資訊、提出假設、分析數據資料並進行調查,以證明或否決您先前所提出的假設理論。想要這麼做的話,您會需要合適的工具和流程,以便您能夠好好地收集數據資料、進行案件分析並實行反制。
收集資料
沒有正確的數據資料,你就沒有辦法進行威脅獵捕。威脅獵捕會需要您先從各種源頭收集高品質的數據資料,舉凡日誌項目、伺服器、網路裝置、防火牆、數據資料庫和端點。可惜的是,許多企業組織缺乏查看其雲端應用程式資料的可見性機能。客戶會想要了解並查看其虛擬裝置、容器和無伺服器架構的相關資料,以及各服務中的使用者活動和網路流量資訊。為了要取得這樣的資料並確保數據資料的品質,企業組織們勢必要從雲端服務供應商過於簡單的資料介面升級,改取得能提供多樣資訊的多雲端環境豐富視角。
調查和分析
不過,高效的威脅獵捕所需要的不僅僅是可見性機能。在調查過程中,威脅獵手會需要去利用正確的工具來建立基線,並主動調查異常的情況。任何網路行為不正常的惡意活動都有可能是系統網路被入侵的指標(IoC)。不論是透過入侵檢測系統(IDS)或防毒軟體,強效的 IOC 會需要有能在您網路中發現惡意軟體簽章的警報,或是在您檔案系統中發現勒索軟體的機能。效能低下的 IoC 常有的特徵是:一再失敗的使用者登入次數和登入時間與典型的使用案例相符。您可以透過威脅情資確認已知的 IoC,並藉此來監控網路中的已知 IoC。
僅在高效的 IoC 上設置 IDS 警報,以避免系統發出過多的警報。然而,效能低下的指標也並不是說毫無價值。您如果把這些指標連接在一起的話,效能低下的 IoC 也能助您建構高效的遭駭入指標。
想抓住罪犯的話,你要能理解犯罪份子們的思維。您必須要能假設違規行為的發生,並從攻擊者的角度來進行思考。威脅建模的流程會涉及到潛在威脅和攻擊途徑的識別。建構威脅模型的訓練可幫助您排定資安風險處理的事項優先順序並藉以降低資安風險。您可以去思考一些問題,比如說:您想保護什麼資料?如果你失敗了會有什麼樣的後果?你願意做多少準備來避免這樣的後果?
最後,建議您一定要模擬雲端中的各種威脅並藉此進行測試,舉凡進行跨租用戶的攻擊模擬。藉以產出攻擊模式和「誤用案例」,以規劃出攻擊/防禦的流程或是對策序列。
解決方案簡介:CloudGuard 威脅情資 立即下載
Check Point 的 CloudGuard 智能管理系統能透過圖像化的配置、態勢、網路流量和身份活動資訊來助您簡化事件分析的繁雜程度。我們有提供相當多這方面的資訊,以期能夠幫助您了解哪些服務能夠執行哪些類型的活動項目。
本服務的核心就是我們每天會掃描數百萬個網址和檔案的全球 ThreatCloud AI 資料庫。我們還有利用地理數據資料庫來收集各地點的特有資訊,並根據第三方的情資服務來探討這些事件。威脅情資分析和關聯解析利用了多種機器學習機能,藉此產出有意義的數據資料和警報情資,進而觸發調查的流程或是後續的資安活動。
預先建購的報告讓您能夠深入了解特定類型的網路活動、執行帳戶探索等常規任務;另外,自動修復機能還能讓您自訂任何類型之網路警報、評核追蹤或資安事件的的反制計劃。這能助您大大縮短從收到警報通知到確實解決問題所需的時間。
最重要的是,CloudGuard 智能管理可以與 CloudGuard 平台的其他產品進行順利整合,舉凡態勢管理、應用程式 和工作負載防護以及網路安全防護。何不今天就免費開始試用呢!