自适应安全策略对于阻止高级攻击至关重要

安全操作中心(SOCs)遇到的威胁很快就会从传统的网络攻击转变成大范围的破坏性勒索软件攻击,甚至是复杂的民族国家攻击。在这种情况下,目前通过警报进行的分流和补救措施可能会失败。

[[443307]]

虽然警报是一个很好的调查起点,但它们并不能帮助防御者有效地补救攻击的严重性、影响和蔓延。安全团队需要从孤立的警报队列转变为能够处理整个端到端攻击的事件。

从基于警报的分流和补救系统转向围绕全面的事件补救而建立的系统有巨大的优势,包括节省时间和资源,大大减轻安全团队的负担,以及全面加强建立在零信任和深度防御方法上的安全态势。

事件视图让分析人员立即看到大局,了解攻击的严重性和程度,这有助于SOC对关键事件进行优先排序,并制定一个明智的行动方案。它还大大减少了分析员队列中的工作项目。

关联性提供了活动是恶意的信心,因此事件得到更快、更容易的分流。确定事件中的一个活动是恶意的,就会对整个事件定罪,这有助于消除假阳性事件。

事件使分析人员能够发现杀戮链中的 “空白”,并通过将事件中的警报与MITRE ATT&CK知识库中的技术和战术进行映射,根据上下文填补这些空白。例如,如果我们看到事件中的初始访问和横向移动活动,我们就可以利用这一点来发现那些不足以触发警报的持久性、指挥和控制以及凭证盗窃战术。我们可以通过执行路径自动回滚,找到最初的进入点,并向前滚动以揭示攻击的全部范围–这对决定如何遏制威胁、驱逐攻击者和补救资产损失至关重要。

因为我们是针对事件而不是单个警报采取行动,所以SOC游戏手册也可以针对整个事件。这消除了 “追逐 “单个警报的需要,并实现了持久的更高层次的指导,不会因为每个新的警报类型而改变。在弄清事件的影响后,游戏手册现在可以清楚地识别、优先考虑和协调遏制步骤,以便一次性地完全驱逐攻击者。

最后,事件模型将所有受影响的资产收集到一个共同的桶中,从而可以全面执行补救措施。

随着威胁防护的发展,SOC需要调整和扩展其流程。立即采取四项行动来开始这个旅程。

1. 从警报到事件的分类

无论您的SOC使用SIEM还是XDR安全产品进行初始分流,都要确保它能在警报之上提出有意义的相关事件。根据对你来说很重要的参数,如该威胁的潜在风险、技术的范围和杀伤链的进展,以及受影响资产的重要性,对你的事件队列进行优先排序。

将您的 SOC 操作手册与网络钓鱼、勒索软件和广告软件等事件类别相匹配。针对每个事件类别,定义 SOC 分析师应采取的措施,以快速了解该事件是真正的威胁还是虚惊一场,并立即阻止其发展。

根据阶段或技术,为调查个别事件警报提供指导。确保发现并捕获事件中的所有攻击者活动和受影响资产–这构成了事件补救计划的基础。

最后,在考虑了整个事件(包括所有受影响的资产和证据)后,在受影响的资产中调用补救措施,使其恢复到干净的运行状态。

2. 自动化

以结构化和持久的方式将SOC的游戏手册映射到事件上,可以实现协调的流程自动化。有些事件类别可以完全自动处理,并在不需要SOC关注的情况下得到端正的解决。对于其他事件,有些部分可能是自动化的(例如,初始分流、批量修复),而其他需要专业知识的部分仍然是手动的(例如,调查)。自动化应该利用事件图来确定在哪里以及如何协助分析员,节省重复的手工工作,并使SOC能够专注于更复杂和高风险的事件。

3. 带着团队一起行动

花时间解释与相关事件合作的好处,以及这种方法如何改变防御者的游戏。探索MITRE ATT&CK框架,并使用它来构建你的SOC游戏手册的事件指导,使其具有扩展性和耐久性。当一个新的警报检测到渗透,并且它被映射到适当的战术或技术,现有的指导适用,不需要特殊的警报上机或新的指导。

记录对先前案例采取的行动–集成到你的安全工具中–并使用这些数据来帮助分析人员了解如何更好地处理新的事件,并随着时间的推移调整流程。将这些经验扩展到整个行业的合作中,可以为组织和整个安全社区带来巨大的好处。

4. 先试后买

寻找一种安全产品,使您的组织能够转向事件并支持这种SOC流程的演变。它应该实现将警报自动关联到事件、优先级、事件分类,以及在事件和警报层面将您的SOC游戏手册映射到MITRE ATT&CK战术和技术的能力。

不要忘记定制,每个组织都有自己的偏好和特殊流程。寻找能够根据组织内部和整个行业的事件历史整合行动建议的产品。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/123841.html<

(0)
管理的头像管理
上一篇2025-02-23 00:07
下一篇 2025-02-23 00:08

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注