新天地棋牌安全运营:唐't wait for the alert

SOC是我们新天地棋牌安全工具库中的一个有用部分,但是它的主要好处是可以最大程度地减少已发生问题的破坏。另一方面,强大的调查团队可以帮助您在问题造成严重损害之前识别并解决问题,这始终是我们的偏爱。

眼二进制IDS入侵检测系统
Thinkstock

我们在新天地棋牌安全行业中继续输给不良行为者的原因之一是我们缺乏主动性。尽管许多组织在其安全功能上进行了大量投资,但它们往往主要集中于对警报做出反应并响应已知情况。这有点像抢劫后武装您的防盗警报器。

对于典型的企业而言,新天地棋牌安全功能的关键方面涉及安全运营中心(SOC),通常是一间大房间,大监视器围着墙壁。 SOC分析师会监视监视器,以发现警报,然后遵循一本手册,该手册定义了响应此类警报的公司标准。这样的系统经过精心设计,可以作为安全性的反应性方法。它们之所以受欢迎,部分是因为它们具有可伸缩性。他们由人员组成,这些人员在大多数情况下经验有限且调查技能欠发达。这些分析师通常价格相对便宜,而且如果活动需要,可以轻松地扩大这些业务。 SOC似乎是与我们丰富的新天地棋牌安全活动保持一致的理想解决方案。不幸的是,SOC通常只擅长响应警报,而损坏通常是在发出第一个警报之前就造成的。

最近 在Crowdstrike中发布了报告 指出,从入侵到发现,新天地棋牌入侵的平均停留时间为229天。因此,一个坏演员有足够的时间窃取数据或破坏系统,直到发出第一个警报。响应警报的SOC对响应此类攻击几乎没有好处,并且只能最小化和量化暴露。

SOC确实有它的位置。我的组织使用知名公司的商业SOC服务。它们会生成许多警报,每个警报都会由我的内部团队进行调查。他们的警报通常是针对我的团队没有时间查找的情况。不幸的是,我们通常直到问题发生后很久才收到这样的警报,并且它们通常用于优先级较低的问题。这些警报确实有价值,因为它们使我们能够清理感染并加强我们的预防措施。但是,它们不能防止重大事件造成的损害。因此,如果我们试图依靠SOC作为执行新天地棋牌安全性的主要手段,那么我们注定要失败。

那么,如果SOC不是最佳答案,那是什么?我建议最好的方法是由一群具有较强调查能力的人组成,他们花大量时间在第一次警报响起之前就发现问题。这些人的技能和思维方式与典型的SOC乘员截然不同。他们具有顺从鼻子的本能,并且有强烈的动力要为发现的每个异常找到解释。他们通常具有坚韧不拔的态度,直到有答案为止。

的确,这些人更昂贵,而且更难找到。但是,当您找到它们并授权他们挖掘问题而不是通过警报等待它们浮出水面时,他们会迅速为自己付出代价。

以下是实现真正调查功能的一些技巧:

雇用合适的人

这几乎不言而喻,但是拥有一支具有调查技能和思维定式的团队对于建立有效的组织至关重要。在大多数情况下,我会优先考虑调查能力而不是实际经验,以找到所需的人员。甄选需要认真的面试过程,因为这些特殊技能通常不会从简历页面上跳出来。

提供所需的工具

尽管您不需要为一支优秀的团队而花大量的时间在工具上,但是某些基本系统对于良好的调查职能至关重要。为此的基石是 安全事件事件管理系统(SIEM),它将来自各种系统的日志记录收集到一个存储库中。但是,此要求并不只限于购买系统。关键服务器,新天地棋牌设备,甚至工作站都必须设置为将其日志记录发送到SIEM,这一点至关重要。具有必要数据的SIEM允许研究人员将各种日志中的事件关联起来,以寻找行为模式。如果没有SIEM,分析师将需要查看太多单独的日志,从而阻碍了流程。

提供良好的培训

持续的培训对于良好的调查功能至关重要。可悲的是,我很少看到专门针对这种需求的良好培训机会。根据我的经验,针对 红队 许多公司用来从公司外部测试安全性的工具,对于调查人员而言效果最好,因为它使分析师能够将自己置于攻击者的位置,因此他们对寻找的东西有一个更好的主意。

给他们时间

一个好的研究者必须有时间跟随他们的直觉。如果他们看到困扰他们的东西,则必须让他们深入研究问题,直到发现问题或使自己满意为止。在此过程中,他们会掉很多兔子洞,什么也没发现,但是每一个都是一种教育经验。与其安排他们进行太多例行活动,不如让他们去做自己最擅长的事-挖掘。

底线:SOC是我们新天地棋牌安全工具库中的一个有用部分,但是它的主要好处是可以帮助将已发生的问题所造成的损害降至最低。另一方面,强大的调查团队可以帮助您在问题造成严重损害之前识别并解决问题,这始终是我们的偏爱。

版权 © 2018 IDG通讯 ,Inc.