在本文中,我们旨在帮助网络安全分析师了解网络安全架构的组件,从如何使用端点信息来增强网络态势感知开始。端点收集了大量对态势感知有价值的信息,但这些信息往往未得到充分利用。如果不了解资产的持续活动,就无法检测到危险。网络安全分析师可以在两个地方之一或有时两个地方查看这些活动——直接在设备上以及与设备之间的通信(即在网络上)。威胁检测的第一步是了解可以在设备上看到哪些活动,并了解如何检测设备以提供这种可见性。端点的价值端点不仅仅是一个闲置在角落的断开连接的黑盒子。端点通常是有权参与预定义活动的计算平台,例如处理能力、访问资源或与其他端点通信。所有这些端点的存在都是为了为组织提供价值,但确保价值需要验证它们的行为是否符合组织的预期。有效的态势感知通过将端点定位在其权限之外来执行策略,并为操作员提供可疑和良性端点行为的整体情况。这种意识支持决策制定并帮助组织降低风险。操作系统通过生成日志并将它们存储在本地或将它们发送到中央日志存储库来监视本地端点。许多组织通过额外的监控来补充此日志记录,在端点上安装客户端以检查静态数据、内存中的活动数据或传输中的数据。这些客户端可以测试数据中的恶意代码或确保数据处于已知状态。还可以观察在活动内存中运行的进程,并验证它们是否以适当的特权级别运行并参与预期的行为。一些客户走得更远,限制被视为不当或威胁的行为,例如访问禁止的内容或不安全地使用系统调用。这些额外监控功能获得的可见性是有代价的。监视进程消耗内存和处理器周期。一些端点态势感知工具充当应用程序和操作系统之间的“垫片”,尽管这些垫片可能会在正常操作中引入延迟和带宽限制。在某些配置中,许多此类解决方案会生成大量日志数据,这些数据通常会通过网络发送到中央收集器。归档这些日志所需的存储量可能会迅速增加,尤其是从数千或数万个端点收集时,并且此活动消耗的网络带宽会增加大量网络开销并使低带宽连接饱和。端点可见性至关重要。某些方面可以在网络级别实现,允许态势感知收集完全忽略端点提供的重复数据,或者用来自另一个数据集的信息证实一个数据集中的观察。对端点态势感知的常见反对意见有三件事往往会阻止企业充分利用其端点作为网络态势感知工具。首先,也是最明显的,大多数企业都有许多端点:传统的工作站和服务器;移动设备,例如手机、平板电脑和笔记本电脑;以及联网的非传统设备,例如医疗和科学设备、销售点系统、条形码扫描仪,甚至灯泡。配置它们以使态势感知相关信息可用于分析的复杂性似乎是不可能的。幸运的是,大多数组织现在都有强大的程序来定义企业中所有机器应该如何配置的基线策略,以及用于执行这些策略的复杂工具。还要考虑到即使是不完美的端点可见性也能为网络安全防御者提供重要价值。尽管看起来令人望而生畏,但实现端点可见性的技术问题可能比您想象的要容易。有效端点监控的另一个常见障碍是哲学上的。许多防御者对端点数据感到不安,因为控制端点的攻击者可能会篡改它。这种担忧是一种合理的风险,但有办法对其进行管理。管理端点篡改可能性的最有效方法之一是配置应用程序日志记录以将日志消息导出到中央服务器。对于企业服务器,在创建所有日志消息后立即导出它们可能是合适的,但对于其他端点(例如工作站)来说通常是不切实际的,这些端点数量更多并且可能并不总是与企业的良好连接相关。在这种情况下,为了管理网络使用,您应该考虑在创建某些关键消息后立即导出日志,然后您将需要定期导出较低优先级的消息(例如,每四个小时或当端点连接回公司网络时)小时)。最后,请记住,即使是被破坏的日志也具有态势感知价值,因为它们可以揭示攻击者希望隐藏的内容、策略、技术和程序。在许多企业中,端点监控的最大障碍不是技术,而是组织。端点管理通常独立于网络管理进行管理,并且可以进一步细分为工作站、服务器、云和本地等的管理。真正全面的网络态势感知需要组织所有部门的协作。构建这些桥梁可能是一项投资,但回报不仅仅是端点可见性,而是一种更全面的网络安全监控和响应方法。分阶段方法:从您所在的地方开始正如我们所说,大多数组织都有大量端点需要管理和监控,但不需要监控所有端点。从监控关键的本地服务器基础设施开始,然后将学习到基于云的服务器,同时与工作站支持一起开发检测本地、云和移动用户环境的策略可能是可取的。增量收益将带来增量价值和重要的经验教训。分析什么数据当开始计划使用端点数据进行网络态势感知时,需要回答一些基本问题,例如组织关心哪些数据?该组织将如何使其可用于分析?组织以后如何改变主意?端点有很多数据。当我们在后面的部分讨论网络态势感知分析时,我们将讨论如何识别重要数据。现在,只需说以下类型的数据可能是最重要的(大致按此顺序):无法在其他任何地方获得的数据最有趣的是,我们可以看到在别处看不到的东西。因此,首先考虑仅在端点上可用的事件数据(和元数据)是有意义的。示例包括有关进程创建或网络连接尝试被端点防火墙阻止的信息。虽然这些数据很有用,但当它可以与其他来源的数据融合时,它就会变得非常有用。因此,第二重要的端点数据类型是可用于将端点数据与其他数据集相关联的信息。例如,网络连接检查可以揭示网络连接包含恶意软件,端点数据可以揭示主机上打开了哪些进程。有了进程列表和进程打开的网络连接(包括连接的时间戳和目标信息),就可以确定哪个进程下载了恶意软件。最后,虽然收集重复网络数据的端点数据似乎是一种浪费,但有时在两个不同的有利位置进行信息支持的推理可能很有价值。这种推论有助于分析师对他们的结论建立信心,并排除(或排除)任何一个传感器可能产生误报的可能性。在哪里分析端点数据一个相关的问题是在哪里存储这些数据。选择是端点位于中心的两者之间的东西。通常,将数据从端点移动到中央收集器可以更轻松地将数据与来自其他观察域和数据集的信息融合。然而,端点是一个嘈杂的数据源,因此将所有内容发送回中央位置可能是一项重大的工程工作。一种方法是分析端点本身。这种方法有两个主要缺点。首先是现在数据是在一台机器上分析的,根据定义,我们正在评估妥协的可能性,因此必须相应地调整对我们结果的信心。第二个考虑是安全分析没有端点影响可用性。端点的存在是为了与企业开展业务,安全分析不应对可用性产生负面影响。还有数据保留的问题。同样,在端点上存储大量历史数据会影响最终用户的服务可用性;如果要保留一段时间,可能需要移动备份。端点处的分析和存储与将其全部移动到中央位置之间的一种可能折衷方案是建立靠近(从网络角度)收集数据的端点的中间收集点。这些中间节点可以进行某些类型的分析,可以更长时间地存储数据,因为收集和分析数据是它们存在的主要目的和价值。端点数据架构的一种特别有效的方法是使用这些收集点来运行管理分析以确定哪些数据可以丢弃以及哪些数据值得保留。在讨论网络态势感知工程时,大多数工程考虑与决定集中收集数据时网络数据的工程考虑相同,这些问题将在后面更深入地讨论。目前,将仅提及此数据编排问题中与端点数据特别相关的几个方面:用于将数据发送到中央位置的策略将取决于端点,并且与端点的连接是高度可变的。他们将拥有多少带宽?他们什么时候会有?是否需要采取额外措施来保护传输中的数据?由于所有这些考虑因素都会影响最佳策略,并且由于它们在端点之间差异很大,因此可能需要处理关于端点数据的新近度或维度的不同保证。网络检查数据收集通常针对少量相当大的数据流进行优化。端点数据收集针对大型、相对低容量的数据流进行了优化。对一个人最有效的方法可能对另一个人无效。然而,中间收集器可以提供帮助的另一种方法是简化问题,因为来自收集器的聚合端点数据看起来更像是来自网络监视器的数据流,并且更适合相同的工程方法。端点为企业服务,回程端点数据不应过度干扰可用性。对于端点监控,请记住安全的存在只是为了让任务更有可能成功。接下来,我们将转向网络网络态势感知工程来讨论网络可见性,除了端点可见性之外还需要它的原因,以及何时在网络级别实现端点可见性的某些方面可能有价值。网络检查数据收集通常针对少量相当大的数据流进行优化。端点数据收集针对大型、相对低容量的数据流进行了优化。对一个人最有效的方法可能对另一个人无效。然而,中间收集器可以提供帮助的另一种方法是简化问题,因为来自收集器的聚合端点数据看起来更像是来自网络监视器的数据流,并且更适合相同的工程方法。端点为企业服务,回程端点数据不应过度干扰可用性。对于端点监控,请记住安全的存在只是为了让任务更有可能成功。接下来,我们将转向网络网络态势感知工程来讨论网络可见性,除了端点可见性之外还需要它的原因,以及何时在网络级别实现端点可见性的某些方面可能有价值。
