SOAR技术文章 【转载】欺骗防御高级威胁检测:增强安全编排,自动化和响应能力

jokerface · 2020年11月12日 · 138 次阅读

网络犯罪在不断地发展,随着技术的进步,全球网络犯罪分子所采用的策略也在不断发展。当今的攻击者借助人工智能和机器学习技术来进行攻击,这大幅提高了攻击的复杂性和速度。幸运的是,并非只有网络犯罪分子才能利用自动化流程。防御者必须采用有效的自动化措施来应对变得越来越复杂的攻击。同时,网络安全团队也需要寻求相应的对策,如投资购买与事件检测,分析和响应相关的安全工具,以减轻人工压力。

自动化威胁检测工具

如今,整合了自动化功能来尝试识别攻击的安全工具数量显著增加,其中大多是使用不同级别的人工智能来进行模式匹配或检测异常行为。该功能在加速检测方面十分有用,但是安全团队发现此方法具有一定的缺陷,它需要基线和时间,来进行不断的调优和完善。且在整个过程中,产生的误报数量可能会使之前节省的时间再次被浪费​。

为实现效率提升,安全团队开始使用机器学习来自动部署安全解决方案。欺骗技术就是一个例子,该技术可以自学习环境,然后自动提出诱饵配置和凭据,可以使欺骗诱饵完美融入用户真实环境。这种自动配置既节省了部署时间,又减少了定制过程中的可能产生的错误。

增强检测工具的自动响应能力

减少驻留时间(入侵者进入网络和组织检测到入侵之间的时间)可以限制攻击者可能造成的潜在破坏。然而,现在的大多数检测工具只会在遭遇实时攻击时发出警报。因为它们没有办法解决攻击者,他们只能收集到有限的关于攻击者的信息。之后,安全团队会进行人工调查,获取可信的攻击情报并关联攻击数据来进行分类。这是一项繁复的工作,调查人员需要研究各种日志和工具,搜寻失陷指标 (IOCs),并收集更多的信息来确定攻击的源头和入侵程度。

通过在攻击发生时收集的有关信息,组织可以获得许多好处。

  • 绘制攻击起始点和路径的图表可以提供有价值的信息,如确定攻击者使用的工具甚至是探寻他们的攻击目标和意图。
  • 如果手动的从攻击中采集信息,前后关联得出所需情报,可能需要花费相当多的时间和精力。 幸运的是,现在网络内的安全控制能够自动执行这一功能,为防御者提供高保真警报以及经过验证的高质量信息,可让他们更快、更有效地响应事件。

收集和关联这类信息的一种方法是使用安全信息和事件管理(SIEM),当日志数据可用并且系统经过适当调整时,该方法将非常便捷高效。端点检测和响应(EDR)解决方案还可以帮助提供端点取证和其他遥测信息。它们还可以隔离受感染系统以此减轻攻击的扩散。

另一个首选的控制方法是欺骗技术,因为它可以识别 TTPs,IOCs 和其他攻击信息,安全团队可以使用这些信息来自动进行攻击数据的分析和关联。此外,欺骗技术可以通过与现有安全控制的内置集成来自动执行事件响应操作,例如隔离受感染的端点或阻止受影响的网段。

安全团队还可以通过与 SIEM,EDR 和其他控件自动共享攻击数据来更快地发现和遏制威胁,从而提高运营效率。

自动化要求警报的准确性和可信度

可靠警报是自动化工具的关键要求。由于许多检测工具的信噪比都较低,因此安全团队不愿自动执行响应,他们不能冒着可能的误报风险去中断业务。通过依靠具有可靠警报的工具,防御者可以减少排查时间,更有信心地开启自动响应。他们甚至可以更进一步,利用从初始警报收集的 IoCs 来识别攻击的其他受害者。

许多组织都在转向安全编排,自动化和响应(SOAR)平台,以最大程度地实现信息共享和响应自动化。SOAR 平台类似于 SIEMs,包含工作流自动化,可以实现信息交换和剧本(playbook)执行。

这些工作流包括与防火墙,EDR 解决方案,网络访问控制(NACs),SIEMs 等共享信息。这种级别的自动化可以帮助减少信息共享时间和潜在的人工操作错误,同时明显改善攻击识别和响应时间。

及时补救和恢复服务至关重要

及时检测、响应事件并从事件中快速恢复,是确保业务运营不中断的一项重要能力。添加自动化功能对减少检测和解决警报所需的时间、为重复的流程创建框架、优化资源利用以及减少人工干预的需求而言非常有价值。同时,它还对统一安全工具和工作流操作十分有益。​

鉴于攻击者越来越多地使用自动化和人工智能,现在是投资欺骗防御技术以简化检测,分析和事件响应工作流以及寻求提高整体安全操作效率的关键时刻。

转载声明

  • 本文作者:黑豹 cyd0, 转载链接(https://www.freebuf.com/articles/es/254157.html

  • 声明:本文来自 FreeBuf.COM,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册