Gartner分析师MarkHarris日前表示,网络攻击者已经转移了攻击重点以实现他们的目标——从专注于感染文件到感染系统再到感染整个企业。作为网络安全捍卫者和企业安全专业人员,检测方法需要相应地发展,从跟踪文件和哈希并依靠签名来阻止早期威胁,到跟踪其他指标以防止更复杂的攻击。现在,攻击者正在渗透企业组织并横向移动以完成他们的任务。无论是通过间谍活动发起攻击、锁定端点和服务器以勒索赎金,还是将一家企业作为进入另一家企业的入口点,这种趋势都是网络攻击者的特征。因此,我们必须不断改进我们的检测方法,认识到不再只是找到一个触发攻击的控制点或系统,而是整个企业的多个点。企业安全团队需要能够连接点,检查来自不同系统和来源的信息,并将数据和操作集成到一个视图中,这样他们才能更全面地了解组织面临的威胁以及如何防御这些威胁。作为在整个企业范围内启用全局检测和响应的新范例,扩展检测和响应(XDR)已经引起了企业安全团队的极大兴趣。XDR的扩展检测目标是组合来自内部和外部不同来源的数据,并将来自不同系统的原子事件连接成单个事件。正如咨询公司Frost&Sullivan所指出的,“由于企业组织通常遵循同类最佳原则,因此集成对于实现XDR愿景至关重要。”组织中的所有系统和来源必须能够协同工作,从正确的工具中提取正确的数据以验证检测并最终有效响应。这听起来很简单,但实际上是组织安全检测能力的巨大转变。就其本身而言,来自组织所有内部数据源(包括企业SIEM系统、日志管理存储库、案例管理系统和安全基础设施、本地和云端)的事件似乎是孤立的。然而,如果企业安全团队能够聚合这些数据并使用来自多个来源(商业、开源、政府、行业和现有安全供应商)的威胁数据自动扩充和丰富这些数据,他们就会看到完全不同的画面。当所有这些数据相互关联并显示在一个屏幕上时,将来自不同系统的看似孤立的事件汇集在一起??以完成攻击事件拼图,安全团队可以识别关系并检测整个企业的恶意活动。这种企业范围的检测活动自然会促使企业安全团队深入挖掘并引发进一步调查。因此,我们对检测的现代定义还必须包括在该共享视图中将相关数据与内部资源相关联的能力,例如受影响的用户身份。例如,如果网络犯罪分子的目标是财务部门、人力资源或高层管理人员,这可能表明对组织的威胁更为严重。一些外部工具,例如MITREATT&CK等框架和用于DNS查找、URL和恶意软件分析的第三方工具,将显示事件中的数据点是否具有共同的指标。使用这些工具,安全团队可以了解组织是否面临更大规模的攻击活动,以及需要寻找哪些指标、策略和技术。通过内外部数据汇聚、关联调查等,不断更新检测定义,覆盖更广泛、更深入的理解,为企业安全团队提供所需的信息,以便更快地实施安全措施,这就是我们不断改进检测方法的意义,进而影响我们对响应的定义。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
