雲端中的威脅搜捕

助您簡化跨配置、系統狀態、網路流量和身份活動的事件分析程序。Check Point 將持續的駭入檢測、監控和威脅情資機能自動化,將這些機能整合到統一的解決方案中供您使用。

安全檢查 免費試用

圖塊:雲端威脅獵捕的威脅預防

威脅防護

透過能提供您大量可用資訊的圖像化工具來持續分析帳戶活動並監控網路中是否存在著異常或是威脅的跡象。

圖塊:雲端威脅獵捕的威脅情報

威脅情資

透過先進的預測智能引擎、來自數百萬個感測器的數據資料、尖端研究和外部情資來獲取有意義的數據資料和警報情資。

圖塊:雲端威脅獵捕的威脅補救措施

威脅修正

使用 CloudBot 技術來自動修復高風險的組態。在您的系統環境中,創建能反制任何類型之網路警報或稽核追蹤的自訂回應措施。

雲端威脅獵捕的獨特挑戰

收集或分析大量數據資料乃是一個艱苦且耗時的過程,此外,這樣的流程還可能會影響到其最終的成效。目前,企業組織平均會需要 280 天* 才會發現到自己的系統已被外人滲透或有資安漏洞的存在。企業組織在識別威脅和評估風險級別時,大多會考慮到 Mitre Att@ck 架構中近 200 種的獨特策略、技術和程序,考慮的事項如此繁雜,也難怪大家的反應程度如此遲緩。威脅獵捕乃是一件「永無止境」的事項;我們會發現威脅並進行修復,然而,攻擊者也會調整其攻擊手段並重複這樣的循環。不幸的是,這些循環的數量和週期在雲端環境中有著指數級的增長,翻新的速度越來越快;現在,網路資安專業人員必須要能追蹤多個雲端服務供應商和資產。通常而言,企業組織在收到「系統正遭受到攻擊」的警報之前,並不知道其企業網路大多已經出事了。然而,在收到警報後才進行反制可說是為時已晚。想要成功實行資安防護的關鍵在於能否快速地檢測威脅(在某些情況下即時阻止這些攻擊),以減少攻擊者滯留在您網路環境中的時長並在其中造成危害的可能性。

識別:雲端威脅獵捕的第一步

透過採取主動且有條理的資安策略,您將可以識別這些攻擊並及時進行修復。想要做到這一點的話,您必須要開始進行觀察、搜集資訊、提出假設、分析數據資料並進行調查,以證明或否決您先前所提出的假設理論。想要這麼做的話,您會需要合適的工具和流程,以便您能夠好好地收集數據資料、進行案件分析並實行反制。

雲端威脅獵捕一

收集資料

沒有正確的數據資料,你就沒有辦法進行威脅獵捕。威脅獵捕會需要您先從各種源頭收集高品質的數據資料,舉凡日誌項目、伺服器、網路裝置、防火牆、數據資料庫和端點。可惜的是,許多企業組織缺乏查看其雲端應用程式資料的可見性機能。客戶會想要了解並查看其虛擬裝置、容器和無伺服器架構的相關資料,以及各服務中的使用者活動和網路流量資訊。為了要取得這樣的資料並確保數據資料的品質,企業組織們勢必要從雲端服務供應商過於簡單的資料介面升級,改取得能提供多樣資訊的多雲端環境豐富視角。

 

調查和分析

不過,高效的威脅獵捕所需要的不僅僅是可見性機能。在調查過程中,威脅獵手會需要去利用正確的工具來建立基線,並主動調查異常的情況。任何網路行為不正常的惡意活動都有可能是系統網路被入侵的指標(IoC)。不論是透過入侵檢測系統(IDS)或防毒軟體,強效的 IOC 會需要有能在您網路中發現惡意軟體簽章的警報,或是在您檔案系統中發現勒索軟體的機能。效能低下的 IoC 常有的特徵是:一再失敗的使用者登入次數和登入時間與典型的使用案例相符。您可以透過威脅情資確認已知的 IoC,並藉此來監控網路中的已知 IoC。

 

雲端威脅獵捕二

僅在高效的 IoC 上設置 IDS 警報,以避免系統發出過多的警報。然而,效能低下的指標也並不是說毫無價值。您如果把這些指標連接在一起的話,效能低下的 IoC 也能助您建構高效的遭駭入指標。

想抓住罪犯的話,你要能理解犯罪份子們的思維。您必須要能假設違規行為的發生,並從攻擊者的角度來進行思考。威脅建模的流程會涉及到潛在威脅和攻擊途徑的識別。建構威脅模型的訓練可幫助您排定資安風險處理的事項優先順序並藉以降低資安風險。您可以去思考一些問題,比如說:您想保護什麼資料?如果你失敗了會有什麼樣的後果?你願意做多少準備來避免這樣的後果?

最後,建議您一定要模擬雲端中的各種威脅並藉此進行測試,舉凡進行跨租用戶的攻擊模擬。藉以產出攻擊模式和「誤用案例」,以規劃出攻擊/防禦的流程或是對策序列。

雲端威脅獵捕三

 
得出結論並做出反制
在解決的階段,您在調查過程中所收集的資料以及能夠用來回應、分級、分析或儲存未來可用資訊的工具,都應分享給其他團隊知道。這樣,您便能夠更有效地預測未來趨勢、確定資安漏洞的優先程度分級、修復資安漏洞並改善貴公司企業的資安策略。

CloudGuard Intelligence

Check Point 的 CloudGuard 智能管理系統能透過圖像化的配置、態勢、網路流量和身份活動資訊來助您簡化事件分析的繁雜程度。我們有提供相當多這方面的資訊,以期能夠幫助您了解哪些服務能夠執行哪些類型的活動項目。

Cloudguard 運作原理圖

本服務的核心就是我們每天會掃描數百萬個網址和檔案的全球 ThreatCloud AI 資料庫。我們還有利用地理數據資料庫來收集各地點的特有資訊,並根據第三方的情資服務來探討這些事件。威脅情資分析和關聯解析利用了多種機器學習機能,藉此產出有意義的數據資料和警報情資,進而觸發調查的流程或是後續的資安活動。

預先建購的報告讓您能夠深入了解特定類型的網路活動、執行帳戶探索等常規任務;另外,自動修復機能還能讓您自訂任何類型之網路警報、評核追蹤或資安事件的的反制計劃。這能助您大大縮短從收到警報通知到確實解決問題所需的時間。

最重要的是,CloudGuard 智能管理可以與 CloudGuard 平台的其他產品進行順利整合,舉凡態勢管理應用程式 工作負載防護以及網路安全防護。何不今天就免費開始試用呢!

威脅與事件調查系列

影片:權限提升

透過 Lambda 來提升權限

 

影片:橫向移動

未被察覺的橫向移動

 

影片:透過 ec2 來提升權限

透過 EC2 來提升權限

影片:主要金融機構的駭入事件

主要金融機構的駭入事件

×
  反映意見
由於 Cookie 有其功能且可供我們用於資料分析和行銷等相關業務,本網站是有使用 Cookie 的。繼續瀏覽本網站即表示您同意我們使用 Cookie。若欲了解更多相關資訊,請參閱我們的 Cookie 聲明