零日威脅防護(hù)的3個(gè)步驟
最近的Microsoft Exchange攻擊事件提醒我們,新的網(wǎng)絡(luò)威脅無(wú)處不在。從本質(zhì)上講,零日攻擊使威脅行為者占據(jù)上風(fēng),他們能夠瞄準(zhǔn)他們認(rèn)為易受攻擊的系統(tǒng)。但是,零日攻擊并非不可避免。下面這些方法可幫助你識(shí)別零日威脅、縮小暴露范圍并在實(shí)際攻擊發(fā)生前修復(fù)系統(tǒng)。下面讓我們看看這三個(gè)關(guān)鍵步驟。
保持全面可視性
當(dāng)今的動(dòng)態(tài)環(huán)境為攻擊者提供大量潛入網(wǎng)絡(luò)而不被注意的機(jī)會(huì)。防御零日威脅需要對(duì)網(wǎng)絡(luò)的全面可視性。你需要了解所有資產(chǎn)的位置以及它們?nèi)绾握9ぷ鳎宰R(shí)別可表明攻擊早期階段的異常活動(dòng),這一點(diǎn)至關(guān)重要。持續(xù)監(jiān)控端點(diǎn)、SaaS和云環(huán)境,以及自定義Web應(yīng)用程序可以提供可視性,以識(shí)別潛在漏洞和威脅。同時(shí)可以沿攻擊鏈部署檢測(cè)。攻擊者通常會(huì)認(rèn)為,企業(yè)還沒(méi)有部署資源來(lái)支持這種級(jí)別的可視性。
查看漏洞公告資訊
正如經(jīng)驗(yàn)豐富的偵探高度警覺(jué)地收集信息,安全管理員也應(yīng)該關(guān)注有關(guān)不斷變化的網(wǎng)絡(luò)威脅的討論。無(wú)休止的攻擊速度和24小時(shí)新聞周期讓你可以了解有關(guān)新漏洞、正在發(fā)展的威脅和數(shù)據(jù)泄露事故的可用信息。你可能很難查看所有信息,但有些策略可以幫助你過(guò)濾噪聲并獲取所需的信息。
你需要養(yǎng)成習(xí)慣,查看漏洞警報(bào)和漏洞公告信息。SANS Internet Storm Center、SecLists.org 和National Vulnerability Database等提供警報(bào)和漏洞討論、漏洞利用技術(shù)和行業(yè)消息。通常,此類論壇中會(huì)討論新威脅的第一個(gè)指標(biāo)及其目標(biāo)。這些對(duì)話可以幫助安全團(tuán)隊(duì)在威脅被發(fā)現(xiàn)之前保護(hù)易受攻擊的環(huán)境。
另一種保持知情的方式是,在社交媒體上關(guān)注安全內(nèi)部人士和與安全相關(guān)的話題。例如,在微博可使用##符號(hào)查看熱門話題,你可以輕松跟蹤有關(guān)當(dāng)前網(wǎng)絡(luò)安全的實(shí)時(shí)討論。用戶還可以圍繞特定主題、供應(yīng)商和安全內(nèi)部人員創(chuàng)建自己的內(nèi)容。
制定補(bǔ)丁修復(fù)管理計(jì)劃
重要的是,與ITOps開(kāi)發(fā)和安全團(tuán)隊(duì)協(xié)商補(bǔ)丁管理計(jì)劃。當(dāng)供應(yīng)商發(fā)布零日漏洞修復(fù)程序后,這將能夠快速修復(fù)關(guān)鍵系統(tǒng)。
對(duì)于很多企業(yè)而言,補(bǔ)丁修復(fù)管理并不是簡(jiǎn)單的事情。在復(fù)雜的現(xiàn)代環(huán)境中,部署補(bǔ)丁有時(shí)會(huì)產(chǎn)生意想不到的影響,例如減慢硬件速度、禁用系統(tǒng)或阻礙業(yè)務(wù)運(yùn)營(yíng)。修復(fù)程序也可能需要大量時(shí)間和資源,因?yàn)閱T工必須測(cè)試和部署修補(bǔ)程序,并重新啟動(dòng)系統(tǒng)以完成部署。自動(dòng)化補(bǔ)丁管理可以緩解這些問(wèn)題。這些產(chǎn)品會(huì)從供應(yīng)商處下載補(bǔ)丁、掃描環(huán)境中是否有缺失的補(bǔ)丁、測(cè)試補(bǔ)丁帶來(lái)的影響、自動(dòng)部署補(bǔ)丁,并報(bào)告補(bǔ)丁管理過(guò)程的狀態(tài)。
請(qǐng)注意,補(bǔ)丁管理無(wú)法防止零時(shí)差攻擊,但可以減少受到零時(shí)差攻擊的可能性。軟件供應(yīng)商可能會(huì)在發(fā)布后數(shù)小時(shí)或數(shù)天內(nèi)針對(duì)嚴(yán)重漏洞發(fā)布補(bǔ)丁。有效的補(bǔ)丁管理計(jì)劃將幫助安全團(tuán)隊(duì)在攻擊者利用漏洞和破壞系統(tǒng)前部署補(bǔ)丁。
與MDR提供商合作以提供更強(qiáng)大的保護(hù)
通常,只有大型企業(yè)擁有足夠的內(nèi)部資源以有效防御零日威脅。中小型企業(yè)缺乏維持上述措施的人員、工具和專業(yè)知識(shí)。對(duì)于這些企業(yè),與托管檢測(cè)和響應(yīng) (MDR) 提供商合作可能是不錯(cuò)的選擇。
MDR可以幫助抵御零日攻擊。它強(qiáng)調(diào)深度可視性和24/7監(jiān)控,可幫助企業(yè)識(shí)別在其環(huán)境中任何地方發(fā)生的未經(jīng)授權(quán)事件。它還通過(guò)持續(xù)的威脅情報(bào)獲取信息,以隨時(shí)了解企業(yè)網(wǎng)絡(luò)、端點(diǎn)、服務(wù)器和云環(huán)境中的當(dāng)前威脅和漏洞。當(dāng)檢測(cè)到威脅時(shí),MDR可為企業(yè)提供指導(dǎo)性專業(yè)知識(shí)和人工干預(yù),以調(diào)查和修復(fù)威脅。
