最近的Microsoft Exchange攻击事件提醒我们,新的网络威胁无处不在。从本质上讲,零日攻击使威胁行为者占据上风,他们能够瞄准他们认为易受攻击的系统。但是,零日攻击并非不可避免。下面这些方法可帮助你识别零日威胁、缩小暴露范围并在实际攻击发生前修复系统。下面让我们看看这三个关键步骤。
保持全面可视性
当今的动态环境为攻击者提供大量潜入网络而不被注意的机会。防御零日威胁需要对网络的全面可视性。你需要了解所有资产的位置以及它们如何正常工作,以识别可表明攻击早期阶段的异常活动,这一点至关重要。持续监控端点、SaaS和云环境,以及自定义Web应用程序可以提供可视性,以识别潜在漏洞和威胁。同时可以沿攻击链部署检测。攻击者通常会认为,企业还没有部署资源来支持这种级别的可视性。
查看漏洞公告资讯
正如经验丰富的侦探高度警觉地收集信息,安全管理员也应该关注有关不断变化的网络威胁的讨论。无休止的攻击速度和24小时新闻周期让你可以了解有关新漏洞、正在发展的威胁和数据泄露事故的可用信息。你可能很难查看所有信息,但有些策略可以帮助你过滤噪声并获取所需的信息。
你需要养成习惯,查看漏洞警报和漏洞公告信息。SANS Internet Storm Center、SecLists.org 和National Vulnerability Database等提供警报和漏洞讨论、漏洞利用技术和行业消息。通常,此类论坛中会讨论新威胁的第一个指标及其目标。这些对话可以帮助安全团队在威胁被发现之前保护易受攻击的环境。
另一种保持知情的方式是,在社交媒体上关注安全内部人士和与安全相关的话题。例如,在微博可使用##符号查看热门话题,你可以轻松跟踪有关当前网络安全的实时讨论。用户还可以围绕特定主题、供应商和安全内部人员创建自己的内容。
制定补丁修复管理计划
重要的是,与ITOps开发和安全团队协商补丁管理计划。当供应商发布零日漏洞修复程序后,这将能够快速修复关键系统。
对于很多企业而言,补丁修复管理并不是简单的事情。在复杂的现代环境中,部署补丁有时会产生意想不到的影响,例如减慢硬件速度、禁用系统或阻碍业务运营。修复程序也可能需要大量时间和资源,因为员工必须测试和部署修补程序,并重新启动系统以完成部署。自动化补丁管理可以缓解这些问题。这些产品会从供应商处下载补丁、扫描环境中是否有缺失的补丁、测试补丁带来的影响、自动部署补丁,并报告补丁管理过程的状态。
请注意,补丁管理无法防止零时差攻击,但可以减少受到零时差攻击的可能性。软件供应商可能会在发布后数小时或数天内针对严重漏洞发布补丁。有效的补丁管理计划将帮助安全团队在攻击者利用漏洞和破坏系统前部署补丁。
与MDR提供商合作以提供更强大的保护
通常,只有大型企业拥有足够的内部资源以有效防御零日威胁。中小型企业缺乏维持上述措施的人员、工具和专业知识。对于这些企业,与托管检测和响应 (MDR) 提供商合作可能是不错的选择。
MDR可以帮助抵御零日攻击。它强调深度可视性和24/7监控,可帮助企业识别在其环境中任何地方发生的未经授权事件。它还通过持续的威胁情报获取信息,以随时了解企业网络、端点、服务器和云环境中的当前威胁和漏洞。当检测到威胁时,MDR可为企业提供指导性专业知识和人工干预,以调查和修复威胁。