不管安全专家在他们的网络周围建立的It墙有多高、多深或多长,攻击者似乎总能找到飞过、挖下或钻穿的方法。最近的Verizon数据泄露调查报告发现超过50%的入侵是由某种形式的黑客行为引起的,而超过三分之二的成功入侵需要几个月到几年的时间才能被发现。
[事件反应问题]
由于这些统计数据,再加上他们自己的经验,尽管尽了最大的努力,仍然反复清理受感染的系统,更多的企业已经意识到,入侵将会发生。
今天,重要的是他们能多快地发现并作出反应。
这是一场国家法律和生命科学律师事务所Fenwick and West LLP的It主管凯文·摩尔(Kevin Moore)非常清楚的斗争。“和其他机构一样,我们使用了许多安全设备来保护我们的系统。从网络防火墙,到应用程序防火墙,监控系统,网络网关,到反恶意软件应用程序,”摩尔说。他说:“但随着先进威胁的增长,阻止每一次攻击变得越来越具有挑战性。”
事实上,在过去的几年里,FBI已经多次警告说,黑客越来越多地以律师事务所为目标,以此获取在相关行业工作的客户的敏感信息。
考虑到这一切,摩尔一直在研究如何自动化并加快发现和清理受感染系统的时间。他求助于火眼公司(FireEye, Inc.)的自动恶意软件取证工具。然而,由于Fenwick有一个小的IT安全团队,许多对潜在漏洞的响应都是手动的,而且很耗时。
“当我们收到恶意软件警报时,比如来自火眼或我们的网络网关,我们会试图隔离有问题的机器,找出用户是谁,他们恰好位于哪里。然后我们会派一个服务台的工作人员来隔离机器,”摩尔解释道。
这无疑比今天的大多数组织都更有能力,更有前瞻性。然而,考虑到今天数据被转移的速度,摩尔知道他需要能够更迅速地行动。“我们会获取数据,比如FireEye提供的数据,这些数据会显示恶意软件试图与哪个命令和控制服务器通信,我们会尽快做出回应。但服务台工作人员和其他人员除了安全之外还有许多其他职责,所以我们需要更多的自动化方法,”他表示。
为了进一步缩短时间,摩尔探索了威胁管理和安全分析供应商NetCitadel的能力。摩尔解释说,当时,该公司刚刚开始开发他们的威胁响应平台。
NetCitadel承诺将能够整合来自摩尔网络和应用防火墙、反恶意软件、取证和其他应用的数据,然后根据实时数据警报和阻止攻击。Moore说:“根据我定义的工作流程和标准,我将能够识别正在进行的攻击,并停止某些活动,例如命令和控制服务器IP地址的出口流量。”
在本例中,我有效地阻止了威胁与它的命令和控制服务器的通信。这为我们赢得了时间。我们仍然需要快速响应,但我们现在有额外的时间,因为我们已经切断了它,”他说。
昨天,NetCitadel发布了其威胁管理平台ThreatOptics,该公司称,该平台整合了来自反恶意软件应用程序、取证工具、应用程序和网络防火墙以及安全事件和信息管理系统的数据。该平台还可以使用防火墙和网络网关实时响应事件。
“今天良好的安全不是通过检测来实现的,它还与快速反应有关。捕获和集成这样的数据的能力对于保证系统和数据的安全至关重要。
乔治·v·休姆(George V. Hulme)在他位于明尼阿波利斯的家中撰写有关安全和技术的文章。你也可以在Twitter @georgevhulme上找到他关于这些话题的推文。
这篇文章,“检测和响应:组织如何更快地击退有针对性的攻击”最初是由方案 .