在疫情肆虐全球的上半年,网络钓鱼攻击增加了600%,勒索软件攻击增加了148%,FBI报告的网络犯罪增加了300%。然而,企业的检测和响应能力以及速度并没有成比例的增长,这也使得各种容灾解决方案成为当前企业安全投资的热点。网络检测和响应(NDR)解决方案可以帮助企业增强威胁响应能力,提高网络安全可见性和威胁免疫力。为业务选择合适的网络检测和响应方案,企业需要考虑多方面的因素。下面,我们整理了多位网络安全专家对NDR选择的建议,供企业参考。CISecurity首席技术官MikeHamilton选择网络检测和响应解决方案包括一系列技术和人员。针对不同的企业,技术与人员的结合是高度定制化的。共有三种不同的路径:托管。托管检测和响应服务结合多种技术从网络收集信息,如检测分析识别异常活动,相关分析师根据预定义的操作手册调查、确认和执行响应动作,以服务的形式提供。操作。您拥有NDR响应、恢复和记录保存的技术、操作员和流程。这是很多企业的发展之路,但这条路往往越走越艰难。自动化。最先进的技术是自动化:SOAR和其他方法可以采用您的预防和检测控制措施,并将它们与技术集成以自动响应和采取行动。要确定是通过托管、运营还是自动化来提供最佳服务,请询问供应商:部署的速度/容易程度如何?该解决方案是否收集和分析所有数据源?对于运营模式,资源成本是多少,包括分配给网络安全的机会成本如何影响项目?对于托管模型,提供商如何寻找和留住威胁猎手和分析师?对于自动化模型,误报的最坏情况是什么?RahulKashyap,负责人,AwakeSecurityExecutives选择网络检测和响应解决方案(NDR)来防范非恶意软件威胁,包括内部攻击、凭据滥用、横向移动和数据泄露等。NDR使企业能够更清楚地了解网络上实际发生的情况以及正在进行的活动。但是,并非所有NDR解决方案都是一样的。为了最大化价值,建议用户考虑以下三个关键参数:数据:寻找可以解析整个数据包的解决方案,而不是局限于NetFlow或IDS警报。这提供了更大的可见性,使解决方案能够识别更多相关威胁。机器学习和人工智能:避免主要依赖无监督机器学习并充当黑匣子的解决方案。此类产品的误报会产生巨大的运营开销,并且不会向分析师提供解释标记问题原因的信息。用例:是否可以替换现有的网络取证、威胁搜寻等解决方案以减少工具蔓延。这有助于巩固和现代化您的安全运营,提高安全团队的效率。与任何其他安全解决方案一样,仅仅获得一个新的NDR工具并不能提高您的安全性。根据我的经验,购买者在决定技术堆栈时考虑运营影响至关重要。IgorMezic,首席技术官,MixMode选择网络检测和响应解决方案在选择NDR解决方案时,应询问有关底层方法的一些关键问题:AINDR智能检测和响应系统是部分还是完全依赖于规则?与维护规则集相关的开销是多少?在现代安全环境中,攻击向量正在迅速变化,大大超过了规则开发工作的速度。基于规则的信息可以用作上下文,但不能用作信息的主要来源。机器学习系统的核心应该适应新的网络条件,从而独立于静态规则。误报占检测误报率的比例是多少?假阴性的比例是多少?NDR的响应函数高度依赖于检测质量。由于误报而关闭子网可能会中断正常的网络操作。在基于规则的系统和使用基于标签的监督学习方法的系统中,会存在大量的误报(误报和漏报)。基于聚类和贝叶斯方法的无监督系统通常也具有较高的“误报率”和误报率。当我们向网络添加新的子网或路由器时会发生什么?NDR系统是否必须重新学习所有内容?在现成的机器学习系统中学习可能需要6到24个月的时间。如果每次向网络添加新组件时都必须重复该循环,那么解决方案就非常有限。人工智能系统必须在不增加额外学习时间的情况下适应网络上的新情况。检测系统容易被欺骗吗?众所周知,非生成式机器学习方法很容易通过注入损坏的数据样本进行欺骗,从而使系统无法识别特定攻击。SteveMiller,FireEye首席应用程序安全研究员网络检测和响应解决方案(NDR)应该支持多种形式的安全操作和操作。检测事件必须区分为不同的优先级类别。事件优先级或严重性可以确保重要的、合格的网络检测事件位于任务列表的顶部。您的安全团队可以确定“头部”检测事件的优先级,并对受影响的资产做出更仔细、更快速的响应。必须有网络活动的历史。这可能是在一段时间内存储的完整数据包捕获,或者只是在每个网络检测事件前后5分钟的“时间片”中捕获数据包。解决方案应包括抽象的网络日志记录,例如Netflow和HTTP事件日志记录。日志记录越多,调查就越容易。该解决方案必须启用操作警报自动化。在分析警报时,分析师会执行常规操作来收集有助于确认和响应的信息。解决方案必须能够自动收集与警报相关的数据,以供分析师审查,从而减少人工操作。在功能上,NDR解决方案必须轻松地集成和收集来自其他技术堆栈的上下文数据,例如:DHCP租约、被动DNS解析、威胁参与者或恶意软件关联,并可能通过隔离、阻止或操纵数据包或网络/资产“处理”系统来缓解减少恶意事件的影响。自动提供上下文数据和“处理”选项是采取行动的基础,这通常是人类工作流程中最费力的部分。Nuspire产品管理总监JyothishVarma随着组织准备投资托管检测和响应(MDR),他们应该考虑投资能够检测绕过现有安全控制的攻击的解决方案。对于那些具有静态检测机制的解决方案,如果黑客利用了没有触发预设规则的漏洞,那么没有人会知道攻击已经发生。因此,组织必须依赖通过高级威胁检测和响应解决方案增强安全控制的解决方案或托管服务,以及受过主动发现威胁培训的训练有素的安全分析师。您选择的MDR解决方案还应该实时检测攻击,专家24/7全天候工作以调查和响应该技术可能遗漏的警报。MDR服务提供商需要提供24/7/365安全运营中心的服务,配备安全分析师,以确保您可以充分利用专家资源来检测攻击并根据需要协调事件响应计划。通过与拥有24/7安全运营中心的提供商合作,现有的企业安全团队将提高工作效率,并减少浪费在误报上的时间。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
