为什么企业需要实时威胁检测?

安全 应用安全
如果公司没有实时检测能力,没有为这些事件做好准备,那他们就总会处于特别脆弱的状态。对工具和策略进行重新评估是个不错的主意。

虽然公司企业总是希望尽可能快地找出威胁,但理想也总是那么遥不可及。平均来看,驻留时间会持续数月,网络罪犯有充足的时间逡巡网络,抽取有价值信息,影响公司、客户以及雇员。

[[182868]]

如果公司没有实时检测能力,没有为这些事件做好准备,那他们就总会处于特别脆弱的状态。对工具和策略进行重新评估是个不错的主意。以下是一些最常见的风险事件和能够帮助你成功应对的建议:

1. 物联网接入

[[182869]]

任何联网设备都可成为黑客的切入点,随着越来越多的公司开始使用物联网设备(IoT),他们需要准备好识别新设备上的潜在攻击。

正在实现IoT的公司应考虑一下网络重设计,用强访问控制将IoT设备与其他内部网络进行隔离。可以部署异常检测技术,来给IoT网段和内部及外部网络的正常行为定个基线。该持续的监视将有助于发现不正常网络行为。

2. 合作伙伴

[[182870]]

塔吉特百货的大规模数据泄露,就是黑客通过空调公司进入网络的结果。每当公司向新厂商或合作伙伴授予网络访问权的时候,他们都应当密切注意不正常活动。有那么几个步骤可以有效做到这一点。

首先,优先处理厂商/合作伙伴访问公司资源的管理和安全,勤于在合同终止时清除访问授权。另外,将厂商VPN访问限制在某已知IP段内,并在内部公布该IP列表。最后,部署分析工具以近实时地检测来自这些IP地址的异常行为。此外,利用第三方安全风险评级服务(SRS)(《安全领域新概念:安全评级服务的兴起》)不失为一个方便快捷的手段。

3. 合并与收购

合并与收购

将两个之前各自独立的公司网络合并起来是个危险的活计。黑客畅游网络的驻留时间可长达数月。如果有黑客已经侵占了公司A的网络,通过融合,你也就给了他公司B(及并购后的公司)的钥匙。

事前准备是规避此类场景的关键。在连接基础设施之前,对每家公司的基础设施都做个网络和安全评估。然后,部署分析工具来对网络行为定个基准,尽快对合并的网络进行数据记录以便能监视异常行为。

4. 新增物理位置

[[182871]]

无论是新的公司大楼,还是零售门店,或者快餐连锁,跟着这些新位置而来的基础设施,都有可能引入新的漏洞。除了添加标准控制,公司面对这种状况还应该考虑部署分析工具,执行“种群分析”,以确定新位置在其网络和应用日志数据中展现的行为,是否异于其他地点的行为。

5. 修复或更新软件

[[182872]]

复杂环境中,一个地方的改变,可能会无意地影响到其他某个地方。很多案例都显示,这可能产生新的漏洞,为黑客开启方便之门。

成功修复或更新,归根结底是使用良好的IT规程。比如说,确保跟IT安全团队沟通计划好的升级。然后,定义升级后勤勉期,在此期间对安全日志进行额外的详细审查。

6. 引入新硬件

[[182873]]

这可能包含任何硬件,从服务器到新的移动设备。每当向网络中引入新硬件时,你都会遇到很多之前不知道的东西。而未知之物,就有可能伤害到你。

确保新服务器上运行的所有软件都打了补丁,是个不错的实践。检查与该硬件或软件相关的每个已知漏洞。与软件升级最佳实践类似,要跟IT安全团队沟通计划硬件升级事宜。然后,创建升级后勤勉期,对安全日志进行额外的详细审查——推荐使用自动化分析工具。

7. 员工入职

[[182874]]

很多公司都会在同一时段迎入新人,比如说,在他们招聘并培训了新的大学毕业生的时候。这种情况下,他们就是在往公司网络中引入带有独特新行为的大量新用户,可能还有新设备。这些新用户增加了被黑或数据被泄的机会(无论有意还是无意地)。

面对该成长期的第一步,是强调公司策略和良好IT安全实践。确保定期强化这些策略和实践。然后,考虑部署用户行为分析(UBA)来为新用户建模,将他们的风险与公司其他员工组做对比。

8. 员工离职

[[182875]]

裁员、倒闭或辞职之类的事件——尤其是在非自愿的时候,可能会引发乱流,增加出自熟知公司数据、网络和应用的员工之手的恶意行为发生机会。

这些敏感时段中,企业应强调身份及访问管理(IAM)。应勤于清除对所有资源的访问权,无论是公司内的,还是云端的。最后,定义更新后的勤勉期,使用自动化异常检测来执行对安全日志的额外审查。

【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2015-11-11 13:35:15

2023-04-21 10:41:34

2022-08-26 08:00:19

企业架构IT

2011-03-09 17:20:43

SSL VPNVPN

2023-04-14 12:04:51

2017-07-11 09:06:16

企业SD-WAN广域网

2012-04-17 12:34:44

Platform

2023-05-05 16:26:33

2023-11-06 11:02:32

2021-07-15 10:17:24

混合云云计算云迁移

2016-10-21 20:29:56

2020-04-14 10:09:22

混合云公共云云计算

2022-05-25 08:00:00

开发微服务企业

2021-03-05 16:02:00

专用核心网MPN网络

2022-04-11 15:01:44

网络弹性网络犯罪恶意软件

2015-09-09 13:44:28

2022-11-09 10:26:48

智慧城市物联网

2023-07-28 11:03:55

2015-11-02 10:18:27

云计算 DevOps云迁移

2010-07-02 21:04:07

点赞
收藏

51CTO技术栈公众号