掌握这十招,你就能做好网络安全分析

安全
作为IT最新流行词,“分析”正逐渐渗入IT系统各组件,但是,说到钻研这些数据以得出安全决策,这种可能包含陷阱的巨量信息,真的那么有用吗?为避免掉进分析陷阱,安全专业人士提供了找出最佳安全分析配置方式,以产出有意义且具可行性洞见的建议。

 找出配置安全分析的最佳方式,为你的公司产出有意义且具可行性的洞见。

[[170326]]

作为IT最新流行词,“分析”正逐渐渗入IT系统各组件。从用例中收集到关于数据、网络和用户行为的分析,我们对此信息有着无穷的利用可能。但是,说到钻研这些数据以得出安全决策,这种可能包含陷阱的巨量信息,真的那么有用吗?为避免掉进分析陷阱,安全专业人士提供了找出最佳安全分析配置方式,以产出有意义且具可行性洞见的建议。

1. 塑造环境,增加“真警报”检测率

[[170327]]

Armor首席安全官杰夫·希林说:“我是‘少数据分析’的支持者。我这么说的意思是,你应该塑造你的环境,只去查看那些最有可能是真警报的事件。在已知威胁触及你的安全栈之前就将之挡在门外。要做到这一点,你可以利用IP信誉管理,或者DNS监测/封锁。这将挡住对你公司80%的非针对性攻击。”

2. 调整安全事件管理(SIEM)功能

很多安全团队在处理成千上万条被自家SIEM认为是高危的事件时举步维艰,这些所谓的‘高危事件’其实是误报,或者不过是告诉你安全措施正在起效的通知而已(比如:防火墙规则触发)。这或许会需要SIEM提供商的专业服务来帮忙,但节省下来的安全团队非重要警报挖掘工时,却是很值回票价的。

把安全团队的精力放在公司最重要的部分吧。要说服企业主不是每件事都值得保护是挺难的,他们自己在告诉你对自家业务部门真正重要的事上也挺挣扎。

3. 在早期阶段捕获威胁

[[170328]]

BlueCat首席技术官安德鲁·维特金:随着安全威胁通过多种攻击方式不断进化,单纯依靠预防性方法缓解已知风险已不足够。安全分析已成为在安全事件发生后进行鉴证分析的基本工具。然而,只要使用得当,安全分析也可以帮助公司识别可疑行为,无论是内部的还是外部的,并能在潜在风险表现出来之前就主动封禁掉,还能对不断进化的威胁提供早期预警。

4. 数据并非越多越好

[[170329]]

Citrix首席安全官斯坦·布莱克:在构建安全数据池、数据云和数据集群之前,先搞清自己公司的目的,比如识别诈骗、内部人、恶意行为人、错误、误操作等等。先排出预期结果的优先级,再去看那些不需要分析的数据。技术不会从事网络犯罪,人才会。有了这个认知,分析通常始于角色挖掘,基于经验量化出用户能做、可能会做,或不应该做的事,可以建立起一条用户底线。通过定义“已知良好”,安全分析便能专注在“未知”和“异常”上来发现潜在威胁。

5. 减少网络安全警报流入

E8 Security 共同创始人兼首席技术官拉维·德威尔第:建立在全公司通用的阈值/策略上的遗留安全技术,通常会造成过多警报和误报。行为建模和对网络中每个用户、系统、应用、终端制订基线的安全分析,则会为公司的威胁预防工作带来最高的准确度。攻击者行为的检测,例如被盗凭证、命令与控制流量、后门、公司内网巡游等,将不再迷失在噪音中。

6. 成为威胁猎手

[[170330]]

多亏安全分析的使用,威胁狩猎正成为安全运营的一个新兴领域。其与传统安全的一个重要区别,在于‘威胁狩猎’的目标不是检测出恶意软件,而是更倾向于识别出攻击者的存在、行为和动作,并尽可能快地控制起那些行动。安全分析通过提供对网络、用户、终端和应用活动中的行为、模式和异常的可见性,而是威胁狩猎成为可能。

7. 利用上下文减少事件响应时间

[[170331]]

安全运营和事件响应团队在调查安全事件时需要上下文的帮助。安全分析工具能为安全警报和事件调查提供行为情报上下文。跨多个数据孤岛快速互动分析当前和历史行为、模式、异常的能力,能带来更快的事件分析,消除对技术资源和手动分析(通常使用笨重的SIEM或枯燥的搜索引擎)的依赖。

8. 首先,缩小攻击范围,然后,补完分析

[[170332]]

Palo Alto Networks 副总裁兼首席信息安全官卢卡斯·穆迪:安全分析带来了得到更好更有效的检测识别的希望,让我们能够快速响应威胁,挫败攻击者,甚至摆脱攻击者。虽说是个宏伟目标,这一策略的挑战却在于规模。安全分析作为结果,必须存在于缩小攻击范围的目标背后,与威胁预防的强力战略性基础为伍。注重安全的公司,应掀起当前技术利用方式的大变革,实现更强的预防性控制。这么做,将反过来使得分析能够以可控可伸缩的方式解决下游风险。强大的威胁分析师很难找到,且他们需要专注在“少量关键威胁”而非“噪音”上。

9. 警惕误报

[[170333]]

白帽安全公司威胁研究中心副总裁莱恩·奥利:在任何公司里,运营安全项目中更困难的方面之一,就是从可信来源获取正确的安全指标。很多公司都称自己能提供安全分析,但很少有公司能提供有意义的经验证的安全统计数据。在Web应用领域,这种现象尤其突出。主要的问题在于,安全工具常常产出超出想象的大量误报。在购买任何分析之前,一定要确保那家公司在拿出统计数据之前先进行漏洞验证。另外,问清楚误报率,这样你才可以确定提供商的分析有多准确。

10. 用分析支持开销

[[170334]]

安全中最困难的部分,在于合理化对不会产生任何利润的东西的开支,而分析对此有所帮助。为合理化开支,你需要知道风险和财政影响。通过使用分析,你能展示出遭受攻击的可能性,以及实现安全并解决问题的开销。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2020-02-28 08:00:13

网络安全黑客网络攻击

2015-09-28 11:27:09

创业

2024-10-09 12:52:09

2017-05-18 15:30:29

2019-12-31 17:15:42

十年回顾网络安全

2019-09-06 15:16:59

2022-09-22 12:03:14

网络安全事件

2021-06-27 12:03:18

网络安全等级

2018-07-20 15:20:09

2012-02-01 15:41:42

2016-11-13 16:34:10

2024-01-12 16:06:55

2019-10-17 14:36:05

网络安全信息安全Google

2023-11-29 08:03:05

2018-10-20 15:30:44

深度学习前端前端工程师

2022-12-29 07:40:58

2010-12-22 10:40:22

IT治理CIOCOBIT

2020-01-31 22:43:15

网络安全安全威胁攻击

2011-05-20 14:23:59

WLANWEPWPA

2022-08-31 16:58:05

网络安全数字化或或或信息安全
点赞
收藏

51CTO技术栈公众号