网络安全是一个过于被动的行业。我们常常像消防员一样,从一处火场冲到另一处火场,扑灭火焰,希望将损失降到最低,而不是像消防专家那样设计一个不会燃烧的环境。
只需考虑一下过去十年来分析师提出的、企业积极购买的一系列“检测和响应”技术。回顾一下:
2013 年 – Gartner 提出“端点检测和响应(EDR)”这一术语
2016 年 -托管检测和响应(MDR) 开始使用,强调减轻管理责任
2018 年——引入扩展检测和响应(XDR),以传达从多个来源收集的信息,包括 EDR、NDR、SIEM 3.0、SIEM 上的抽象层、SOAR 2.0 以及其他资源。
2019 年——网络检测和响应(NDR),将检测功能与事件响应工作流程相结合。
如今,人们都在谈论 MDR、mXDR、ITDR ……安全团队需要建立的被动能力可谓数不胜数。但我认为,我们在这个方向上走得太远了,而忽略了更主动的风险追踪。我们不能仅仅依靠 SOC 来保护我们免受网络威胁。
作为证据,请看 CrowdStrike 对对手突破时间(即首次入侵后采取行动所需的时间)进行的出色研究。平均而言,网络犯罪分子会在 62 分钟内突破。2023 年,该公司观察到突破时间创纪录为 2 分 7 秒。普通 SOC 根本无法跟上这些速度。
攻击者只需成功一次,这是一个误解。他们必须在攻击链的每个阶段都取得成功。
我们的大部分网络安全投资似乎集中在已经发生的入侵事件上,而我们完全没有能力应对这些入侵事件。
夺回主动权
更积极主动的方法需要根据已知的对手策略、技术和程序 (TTP) 评估您的环境。值得庆幸的是,MITRE ATT&CK框架提供了出色的支架,可让您开展此类工作。
考虑靠受信任站点 (LOTS) 攻击生存。MITRE 告诉我们,网络犯罪分子正在通过GitHub和 OneDrive 等受信任站点窃取数据。
如今,网络犯罪分子越来越少地依赖恶意软件,而更多地依赖被盗凭证来进行间谍活动、查找公司关键信息或窃取敏感数据。俗话说,“攻击者不会入侵。他们会登录。”
防御者应该专注于减少攻击面、防范最初的攻击、防止横向移动以及阻止敏感数据的泄露。
至关重要的是,这取决于对对手及其动机的了解。受国家支持的、担心知识产权盗窃的行为者将有足够的资金等待时机,直到窃取具有战略意义的数据。受经济动机驱动的网络犯罪分子可能会感受到更大的压力,需要证明他们的努力能够带来经济回报。另一方面,受理想主义动机驱动的行为者可能更有可能进行 DDoS 攻击,以造成最大程度的停机时间。
谁对您的组织最感兴趣?您的防御策略应该反映出答案。对手越有耐心,防御者就越有耐心。
纵深防御应由多种威胁防护技术组成。
为了采取更主动的网络安全方法,请考虑:
欺骗/负面信任——使用蜜罐和诱饵来捕获寻找皇冠上的宝石的攻击者是捕获不熟悉环境的行为者的直接方法。
风险管理——根据暴露的攻击面、错误配置以及用于利用与您类似的环境的常见 TTP,使用人工智能告诉您您的环境可能暴露在何处。
内联沙盒——网络安全中的一种常见程序,在受控和隔离的环境中引爆可疑文件是网络安全的一种经典主动方法。
浏览器隔离– 将端点置于其自己的沙盒中,消除其浏览器攻击面暴露。通过在虚拟环境中模拟互联网访问,禁用复制/粘贴功能,防止驱动下载和其他基于浏览器的攻击。
实现零信任网络访问——每个资源请求都是一个主动探测用户、工作负载或设备以进行身份验证和授权的新机会,即主动验证实体是否已验证其身份并被允许访问资源的方法。
除了这些提高您在风险搜寻方面的主动性的战术举措之外,我还建议您注意以下更具战略性的方面:
基于目标的主动防御– 从您想要实现的结果开始。这可能涉及修补任何已被利用的漏洞或将您的攻击面(暴露在互联网上的资产)减少 x 个百分点。
采取攻击者的心态——回想一下你听到的上一次有关入侵的故事。它可能是来自专业同事,也可能是新闻头条。你能在自己的环境中做到同样的事情吗?如果不能,什么可以阻止对手取得成功?如果可以,如何解决风险源?
入侵攻击模拟– 入侵攻击模拟 (BAS) 解决方案是发现攻击链漏洞的好方法,这样您就可以在实际事件发生之前缓解这些漏洞。对于寻求比桌面演习更逼真的模拟的组织,有几种开源和专有选项可以补充现有的渗透测试工作。
这并不是说没有更多被动策略(如 EDR 或漏洞管理)的空间。只是我们过于痴迷于被动能力,而忽略了在响应警报和主动解决风险领域之间保持健康的平衡。祝您狩猎愉快!