5項(xiàng)強(qiáng)效安全手段助力企業(yè)輕松應(yīng)對(duì)供應(yīng)鏈攻擊

時(shí)間:2022-04-01 10:15:02 發(fā)布人:myadmin 來(lái)源:派拓網(wǎng)絡(luò) 點(diǎn)擊量:
Palo Alto Networks 首席執(zhí)行官 Nikesh Arora 透露,得益于 Cortex XDR 的行為威脅防御功能,他們內(nèi)部部署的 Cortex XDR 成功阻止了來(lái)自 SolarWinds Orion 服務(wù)器的 DNS 請(qǐng)求,從而使 Palo Alto  Networks SOC 團(tuán)隊(duì)將此服務(wù)器隔離并啟動(dòng)調(diào)查。他們由此得出結(jié)論,在 Cortex XDR 的作用下,攻擊并未得逞,沒(méi)有數(shù)據(jù)遭受損壞,他們的基礎(chǔ)架構(gòu)安全性也得到了保障。

這種對(duì)威脅防御、檢測(cè)和響應(yīng)進(jìn)行的關(guān)鍵集成,以及 Cortex XDR 使用機(jī)器學(xué)習(xí)和人工智能來(lái)自動(dòng)集成端點(diǎn)、網(wǎng)絡(luò)和云數(shù)據(jù),使他們能夠阻止這種前所未有的攻擊。

隨著供應(yīng)鏈攻擊的數(shù)量和規(guī)模不斷增長(zhǎng),網(wǎng)絡(luò)安全顯然已經(jīng)進(jìn)入到一個(gè)資金充足、重點(diǎn)突出、紀(jì)律嚴(yán)明的打擊國(guó)家級(jí)行動(dòng)者的新時(shí)代,他們的目的是獲取目標(biāo)資產(chǎn)的訪問(wèn)權(quán)限、隨著時(shí)間的推移保持持久性,并完成包括數(shù)據(jù)竊取在內(nèi)的各項(xiàng)目標(biāo)。攻擊者愈發(fā)猖狂,每天都在變本加厲地決定發(fā)起更高級(jí)的攻擊,同時(shí)利用云的規(guī)模和強(qiáng)大的自動(dòng)化來(lái)發(fā)動(dòng)傳統(tǒng)技術(shù)和風(fēng)險(xiǎn)管理實(shí)踐無(wú)法抵御的攻擊。阻止這類復(fù)雜攻擊活動(dòng)需要采用新的方法和技術(shù),這樣才能走在攻擊者的前面。

為應(yīng)對(duì)下一次 SolarWinds 類型的攻擊做好準(zhǔn)備: 公司需要立即采取措施

由于許多企業(yè)仍在使用傳統(tǒng)的安全解決方案,包括傳統(tǒng)的防病毒 (AV) 技術(shù)、端點(diǎn)檢測(cè)和響應(yīng)以及其他安全技術(shù),因此風(fēng)險(xiǎn)甚至?xí)?。隨著大量低質(zhì)量數(shù)據(jù)的涌入,許多分析師的應(yīng)對(duì)策略是降低傳感器的敏感度,或者干脆忽略一些警報(bào),這必然會(huì)提高風(fēng)險(xiǎn)等級(jí)。許多沒(méi)有上下文的警報(bào)被認(rèn)為是誤報(bào),因?yàn)樗鼈儾蛔阋猿蔀殚_(kāi)展調(diào)查的理由。然而,當(dāng)把這些數(shù)據(jù)與從其他數(shù)據(jù)源中觀察到的更多內(nèi)容結(jié)合起來(lái)時(shí),這些數(shù)據(jù)可能會(huì)成為了解來(lái)自其他良性活動(dòng)的真正惡意意圖的關(guān)鍵。

高效安全運(yùn)營(yíng)的未來(lái)在于使用有效集成并提供強(qiáng)大分析、機(jī)器學(xué)習(xí)和自動(dòng)檢測(cè)的安全工具取代傳統(tǒng)、孤立的安全工具,從而加快響應(yīng)時(shí)間,同時(shí)提高準(zhǔn)確性。將正確的工具與相關(guān)的整合數(shù)據(jù)集成時(shí),企業(yè)可以縮短響應(yīng)時(shí)間,并通過(guò)豐富的詳細(xì)信息獲得事件的整體概況,從而更好地為調(diào)查提供信息。

那么,未來(lái)的發(fā)展方向是什么?公司和企業(yè)應(yīng)該做些什么,才能做好準(zhǔn)備以應(yīng)對(duì)下一次供應(yīng)鏈攻擊以及不久的將來(lái)肯定會(huì)發(fā)生的不斷演變的威脅?

不妨考慮采用以下五項(xiàng)措施,并了解每項(xiàng)措施將如何影響您的活動(dòng),內(nèi)容涵蓋從執(zhí)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估到制定更廣泛的安全運(yùn)營(yíng)策略

01.了解攻擊面

由于員工、合作伙伴和供應(yīng)商在企業(yè)網(wǎng)絡(luò)范圍之外工作,因此企業(yè)面臨著內(nèi)部系統(tǒng)和數(shù)據(jù)遭到暴露和攻擊的更大風(fēng)險(xiǎn)??蛇x擇的應(yīng)對(duì)方法包括執(zhí)行滲透測(cè)試、漏洞掃描以及使用被稱為攻擊面管理的新興技術(shù)。

攻擊面管理 (ASM) 概述

SANS Technology Institute 定義的攻擊面管理內(nèi)容如下:“一類新興解決方案,旨在通過(guò)提供企業(yè)攻擊面的外部視角來(lái)幫助企業(yè)應(yīng)對(duì)這一挑戰(zhàn)...企業(yè)的攻擊面由攻擊者可以發(fā)現(xiàn)的所有可訪問(wèn)互聯(lián)網(wǎng)的硬件、軟件、SaaS 和云資產(chǎn)組成。簡(jiǎn)而言之,您的攻擊面是所有外部資產(chǎn),對(duì)手可以發(fā)現(xiàn)、攻擊并使用這些資產(chǎn)在您的環(huán)境中站穩(wěn)腳跟。”
SANS 列出了采用 ASM 解決方案的一些常見(jiàn)用例,包括:
• 識(shí)別可視性方面的外部缺口
• 發(fā)現(xiàn)未知資產(chǎn)和影子 IT 
• 攻擊面風(fēng)險(xiǎn)管理
• 基于風(fēng)險(xiǎn)的漏洞優(yōu)先級(jí)劃分
• M&A 及附屬風(fēng)險(xiǎn)的評(píng)估

無(wú)論是選擇部署 ASM 解決方案還是執(zhí)行滲透測(cè)試或漏洞掃描,都需要確定產(chǎn)品和操作需求,以便確定最佳匹配,包括功能、特性、能力和評(píng)估標(biāo)準(zhǔn)。

02.防御所有威脅

當(dāng)前市場(chǎng)上已經(jīng)發(fā)現(xiàn)有許多值得注意的攻擊會(huì)利用相當(dāng)常見(jiàn)的攻擊媒介,例如嵌入式惡意軟件、網(wǎng)絡(luò)釣魚(yú)電子郵件和權(quán)限提升。因此,需要利用技術(shù)和最佳實(shí)踐來(lái)防御所有威脅并將注意力集中在真正重要的事情上。

防御基礎(chǔ)知識(shí)
• 大力投資以保護(hù)您的端點(diǎn)。
• 無(wú)論是部署在開(kāi)發(fā)、質(zhì)檢還是“實(shí)時(shí)”生產(chǎn)環(huán)境中,請(qǐng)確保已集成安全解決方案。
• 使用復(fù)雜密碼。
• 及時(shí)將安全軟件更新到最新版本。定期安裝補(bǔ)丁。
• 限制對(duì)受信任主機(jī)和網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)。
• 如果可能,請(qǐng)使用多因素身份認(rèn)證 (MFA)。
• 配置您的垃圾郵件過(guò)濾器以實(shí)現(xiàn)最大的覆蓋率。

許多違規(guī)行為的發(fā)生是由于人為錯(cuò)誤、未打補(bǔ)丁的系統(tǒng)...等因素造成的。如您懷疑自己受到了威脅:
• 如果只有少數(shù)系統(tǒng)被感染,請(qǐng)立即將這些系統(tǒng)從您的內(nèi)部網(wǎng)絡(luò)斷開(kāi)(物理上),以防止和控制感染。
• 適當(dāng)?shù)卦趦?nèi)部路由器、防火墻和其他網(wǎng)絡(luò)設(shè)備上實(shí)施過(guò)濾器。
• 監(jiān)控所有網(wǎng)絡(luò)流量以應(yīng)對(duì)可能的多方面攻擊。
• 查看相應(yīng)的日志文件以嘗試確定第一個(gè)受感染的系統(tǒng)以及攻擊媒介。
• 確定是否有任何受感染的系統(tǒng)成功連接到 Internet 上的任何站點(diǎn)以及暴露了哪些重要信息

SolarStorm 攻擊在第 3 階段被 Cortex XDR 攔截

使用 Cortex XDR,可以節(jié)省構(gòu)建自己的全球端點(diǎn)安全基礎(chǔ)架構(gòu)的時(shí)間和成本。這種簡(jiǎn)化的部署不需要服務(wù)器許可、數(shù)據(jù)庫(kù)或其他基礎(chǔ)架構(gòu)即可開(kāi)始使用,能夠幫助企業(yè)快速保護(hù)其端點(diǎn)。

03.獲得最大可視性

通過(guò)對(duì)整個(gè)供應(yīng)鏈中的數(shù)據(jù)采用統(tǒng)一的方法,企業(yè)可視性可以提供應(yīng)用和基礎(chǔ)架構(gòu)的整體視圖。可視性還可以包括來(lái)自端點(diǎn)、網(wǎng)絡(luò)和云環(huán)境的遙測(cè)數(shù)據(jù)。而且,其必須關(guān)聯(lián)這些數(shù)據(jù)源,以了解各個(gè)事件如何相互聯(lián)系在一起,并根據(jù)情境確定特定行為是否可疑。
對(duì)于像 SolarWinds 這樣的高級(jí)攻擊,擁有完整的可視性能夠讓企業(yè)檢測(cè)并阻止攻擊生命周期的所有階段(即使主機(jī)已經(jīng)受到攻擊)。如果攻擊手段太過(guò)高明以至于繞過(guò)了您的預(yù)防措施,您需要能夠檢測(cè)攻擊者實(shí)現(xiàn)其目標(biāo)所需的入侵后活動(dòng)。

04.迅速采取操作

一旦攻擊者進(jìn)入,規(guī)避初始檢測(cè)并保持持久性對(duì)于“成功”實(shí)施攻擊活動(dòng)至關(guān)重要。作為 SolarWinds 漏洞背后的指定攻擊者,SolarStorm 利用被盜憑據(jù)來(lái)訪問(wèn)云服務(wù),還利用受到攻擊的身份,通過(guò) VPN 和遠(yuǎn)程訪問(wèn)工具 獲取和維護(hù)對(duì)網(wǎng)絡(luò)的訪問(wèn)。

為此,必須減少停留時(shí)間(或漏洞檢測(cè)缺口)和后續(xù)的橫向移動(dòng),以遏制、移除攻擊并從攻擊中恢復(fù)。除了潛在的聲譽(yù)損害、違規(guī)罰款和關(guān)鍵業(yè)務(wù)數(shù)據(jù)丟失外,漏洞未被檢測(cè)并得到遏制的時(shí)間越長(zhǎng),對(duì)經(jīng)濟(jì)產(chǎn)生的影響就越大。

安伯丁集團(tuán)在他們的報(bào)告“量化網(wǎng)絡(luò)威脅檢測(cè)和響應(yīng)中的時(shí)間價(jià)值”中指出,將停留時(shí)間限制為 7 天時(shí),影響可降低 77%,如果縮短到 1 天,業(yè)務(wù)影響可以降低 96%。

“量化網(wǎng)絡(luò)威脅檢測(cè)和響應(yīng)中的時(shí)間價(jià)值”

安伯丁集團(tuán),2016 年 2 月


除了立即響應(yīng)攻擊的重要性外,還要考慮攻擊者掃描和定位潛在威脅載體的速度和頻率。掃描技術(shù)的進(jìn)步使攻擊者能夠快速、輕松地定位攻擊載體,從而發(fā)現(xiàn)被遺棄、不良或配置錯(cuò)誤的資產(chǎn),這些資產(chǎn)可能成為泄密的后門。

在Palo Alto Networks的2021年Cortex Xpanse 攻擊面威脅報(bào)告:全球領(lǐng)先企業(yè)在攻擊面管理方面的經(jīng)驗(yàn)教訓(xùn)中,概述了他們的關(guān)鍵發(fā)現(xiàn),源自他們對(duì)世界上一些最大企業(yè)的面向公眾的互聯(lián)網(wǎng)攻擊面的研究。從 1 月到 3 月,他們的團(tuán)隊(duì)對(duì)全球 50 家企業(yè)的 5000 萬(wàn)相關(guān) IP 地址的掃描進(jìn)行了監(jiān)控,以了解攻擊者識(shí)別易受攻擊的系統(tǒng)并迅速利用這一點(diǎn)進(jìn)行攻擊的速度究竟有多快。

該研究的一些有趣要點(diǎn)包括:
• 攻擊者從未停止嘗試
• 攻擊者轉(zhuǎn)向新的漏洞
• 云涵蓋了最關(guān)鍵的安全問(wèn)題

05.融入零信任

零信任依賴于對(duì)嘗試訪問(wèn)網(wǎng)絡(luò)資源的每個(gè)人、每臺(tái)設(shè)備或每個(gè)實(shí)體的嚴(yán)格驗(yàn)證和確認(rèn)。主要目標(biāo)是防止數(shù)據(jù)、應(yīng)用和關(guān)鍵業(yè)務(wù)系統(tǒng)受到攻擊和漏洞利用的成功攻破或損壞。
零信任原則旨在減少威脅環(huán)境中的暴露和未經(jīng)授權(quán)的訪問(wèn)。它們已經(jīng)過(guò)精心開(kāi)發(fā),旨在解決整個(gè)企業(yè)組織中關(guān)鍵應(yīng)用和敏感數(shù)據(jù)的安全問(wèn)題。這些原則很容易被納入任何安全策略的一部分。其中一些原則包括:
• 最低權(quán)限策略 (PoLP)
• 微分段
• 多因素身份認(rèn)證 (MFA

有助于促使零信任功能趨向成熟的推薦步驟包括:
• 監(jiān)控所有活動(dòng)并收集所有數(shù)據(jù),而不僅僅是可疑事件。
• 通過(guò)分析和機(jī)器學(xué)習(xí)檢測(cè)異常行為。
• 檢測(cè)并阻止端點(diǎn)上的惡意行為。
• 使用主機(jī)防火墻進(jìn)行分段訪問(wèn)。
• 通過(guò)設(shè)備控制監(jiān)控和限制對(duì)未經(jīng)授權(quán)的 USB 設(shè)備的訪問(wèn)。
• 協(xié)調(diào)安全控制。

一個(gè)沒(méi)那么神秘的武器: Cortex XDR
Palo Alto Networks Cortex® XDR™ 是業(yè)界首個(gè)擴(kuò)展檢測(cè)和響應(yīng)平臺(tái),它可以本地集成端點(diǎn)、網(wǎng)絡(luò)和云數(shù)據(jù)以阻 止復(fù)雜的威脅,使用戶能夠從一個(gè)控制臺(tái)中立即消除網(wǎng)絡(luò)、端點(diǎn)和云威脅。只有 Cortex XDR 能夠幫助安全團(tuán)隊(duì):
• 使用跨網(wǎng)絡(luò)、端點(diǎn)和云數(shù)據(jù)的行為分析,自動(dòng)檢測(cè)跨威脅載體的隱蔽攻擊。
• 通過(guò)將來(lái)自多個(gè)端點(diǎn)和其他數(shù)據(jù)源的安全遙測(cè)和警報(bào)整合到一個(gè)揭示根本原因的事件中來(lái)縮短調(diào)查時(shí)間。
• 通過(guò)應(yīng)用從調(diào)查中獲得的知識(shí)來(lái)持續(xù)調(diào)整防御措施,以防止未來(lái)的威脅。
 

友情鏈接

總部/北區(qū)

地址:北京市海淀區(qū)高梁橋斜街42號(hào)院1號(hào)樓融匯國(guó)際大廈-3A層信亦宏達(dá)
電話:400-650-6601(9:00-18:00)
服務(wù)熱線:13522376611(7*24h)
傳真:+86 010-62260557-666
Email: service@sinynet.com

售前咨詢熱線 400-650-6601

關(guān)注信亦宏達(dá)

微信

微博

2012-2020 版權(quán)所有?信亦宏達(dá)網(wǎng)絡(luò)存儲(chǔ)技術(shù)(北京)有限公司 京ICP備09114115號(hào)-1

京公網(wǎng)安備 11010802032893號(hào)