當前��,企業組織面臨越來越多的網絡安全威脅�,在資源和專業人才有限的情況下����,借助新一代安全技術實現企業安全運營工作自動化成為企業的必然選擇��。SOAR(安全編排自動化與響應)技術因其在安全自動化響應方面獨具優勢���,能夠幫助企業解決安全事件響應過程中人員短缺�、改進警報分類質量和速度等問題����,受到更多企業用戶的關注�。
從實戰角度看���,SOAR 有三個核心思想:一是安全分析處置經驗總結固化重用��;二是安全分析處置操作盡可能自動化����;三是 SIEM�、安管���、態勢感知等產品的能力延伸����。SOAR 建設不是一蹴而就的�,按照經驗其合理的推進過程為:首先�����,建立 SIEM�、安管���、態勢感知等平臺�����,匯聚安全數據���,建立專業安全運營團隊�,實現安全數據集中化研判分析�;其次���,建立 SOAR 平臺�����,將安全運營團隊中最常開展的研判分析任務固化為劇本���,開展自動化輔助研判��;最后�����,完善 SOAR 劇本庫����,根據大部分安全運營團隊工作��,梳理可固化的劇本���,接入所需聯動對象�,提升完善 SOAR 劇本庫�,最大化地開展自動化運營���。
SOAR 的本質是通過安全編排���、自動化與響應技術將安全運營相關的人�、技術和流程進行整合�,有序處理多源異構數據�����,持續進行安全告警分診與調查��、攻擊分析�、威脅處置��、事件響應�,衡量并改善安全運營效率��、簡化安全運營管理����、為安全團隊賦能�。其短期目標是實現手動任務和重復性任務的自動化����,縮短威脅的補救時間����,長期目標是從綜合安全運營視角找到可以量化�����、標準化的抓手去提升安全運營成熟度��。
調研機構Forrester Research公司在最近發布的一份調查報告中指出����,只有18%的企業優先將安全支出用于構建專門的內部威脅計劃��,25%企業則將支出用于防范外部威脅���。內部威脅計劃協調不同業務部門的政策�、程序和流程�����,以應對內部威脅�����。它被廣泛認為對緩解內部威脅至關重要��,企業該如何開始構建內部威脅計劃呢���?
首先�����,企業需要專門的工作組來幫助指導內部威脅計劃��。工作組成員需要有明確的角色和責任�,并采用同一套道德準則或簽署保密協議����。這是因為有許多與員工隱私和監控相關的法律��,以及在制定和執行政策時必須考慮的法律和擔憂��。工作組的第一項工作將是制定運營計劃��,并制定防范內部威脅政策的高級版本���。然后�����,他們需要考慮如何盤點和訪問內部和外部數據源����。為此�����,工作組成員需要熟悉特定數據集的記錄處理和使用程序�����。一旦創建了收集�����、整合和分析數據所需的流程和程序�����,應該根據數據的用途對數據進行標記�。
實施內部威脅計劃的目的是確保不僅業務�、數據或流程受到保護���,而且員工也受到保護���。通過秘密監控工作流��,可以更準確地標記危害指標�,幫助防止事件升級���。但是����,當不可想象的事情發生時����,如果毫無戒心的員工泄露了敏感數據��,那么擁有強大的可防御流程(這些流程已經記錄了事件)����,就可以更輕松地進行數字取證調查��,并迅速解決問題���。
數字化讓世界變得越來越小����,信息變的越來越有價值�,數字化也增加了帳號信息泄露�、計算機遭竊取及劫持等風險���,主要是惡意軟件攻擊����、勒索錢財��,不過并非沒有辦法�����,跟隨五項安全基本原則幫您抵御惡意/勒索軟件攻擊����。
1.了解常見的網絡釣魚例子�。用來網絡釣魚的電子郵件通常還包含附件或鏈接����,建議不要打開這些可疑的電子郵件并且立即將它刪除�。
2. 設置雙重身份驗證����。大多數的服務現在都提供雙重身份驗證功能�,尤其是涉及敏感個人數據時���,以防黑客攻擊���。
3. 部署SSL證書以確保安全���。部署SSL證書�,網站實現https加密�����,可以驗證網站的真實性�����,辨別釣魚網站����。
4. 避開可疑鏈接��、郵件和附件���。平時在上網時一定要謹慎��,千萬要避開這些不安全的鏈接���、郵件或附件�����。
5. 彌補系統漏洞���。定期全面檢查企業現行辦公系統和應用�����,發現漏洞后�,及時進行系統修復����,避免漏洞被黑客利用造成機密泄露��。
隨著安防行業大聯網���、大集成趨勢的日益明顯���,視頻監控等領域產生的數據也越來越多�,安防大數據得到不斷提升���。我們的生活到處都是信息采集設備���,甚至一臺智能電視�����、智能冰箱�,都能實時采集用戶的數據和信息�,每一個智能產物都可能面臨數據安全的威脅���。而還是有很多企業和用戶并沒有關注到網絡安防的重要性��,為用戶的個人信息安全提供最大限度的保障���。
卡內基梅隆大學軟件工程研究所的研究員 Rachel Kartch建議組織實施四個最佳實踐來緩解 DDoS 攻擊�。
1)使架構盡可能具有彈性���。組織應分散資產以避免向攻擊者展示有吸引力的目標���。將服務器部署在不同的數據中心����,確保數據中心位于不同的網絡��,路徑多樣��,確保數據中心和網絡不存在瓶頸和單點故障��。
2)部署可以處理 DDoS 攻擊的硬件�。組織應使用旨在保護網絡資源的網絡和安全硬件中的設置�����。許多下一代網絡防火墻�、Web 應用程序防火墻和負載均衡器可以防御協議和應用程序攻擊�。還可以部署專業的 DDoS 緩解設備���。
3)擴大網絡帶寬��。如果組織負擔得起����,他們應該擴展帶寬以吸收容量攻擊�����。對于沒有財務資源來投資更多帶寬的小型組織而言�����,這一步可能很困難�����。
4)使用 DDoS 緩解提供商�����。組織可以求助于專門響應 DDoS 攻擊的大型提供商����,方法是使用云清理服務來處理攻擊流量�,在流量到達組織網絡之前將其轉移到緩解中心���。
自2020年以來��, DDoS 攻擊無論是攻擊數量�、攻擊規模還是使用的攻擊向量數���,都在大規模爆發�。根據Bank InfoSecurity咨詢的安全專家��,公司應該使用基于云的 Web 服務器來處理 DDoS 攻擊的高流量�,進行模擬真實世界 DDoS 攻擊的練習����,組織可以采取多種措施來防止攻擊并減輕其影響��。在 DDoS 之前制定中斷緩解和響應策略攻擊命中并培訓員工如何識別和響應 DDoS 攻擊��。
1)數據安全治理評估����。開展數據風險發現過程——數據安全治理評估——才能對自身業務最核心的數據安全風險采取技防監測�����、控制手段解決���,
2)數據安全組織結構建設���。在開展組織架構建設時��,需要考慮組織層面實體的管理團隊及執行團隊�����,同時也要考慮虛擬的聯動小組�����,所有部門均需要參與安全建設當中
3)數據安全管理制度建設���。從業務數據安全需求����、數據安全風險控制需要及法律法規合規性要求等幾個方面進行梳理��,最終確定數據安全防護的目標���、管理策略及具體的標準����、規范����、程序等�����。
4)數據安全技術保護體系建設�。具體保護要求及措施�����,可參照國家相關法律�����、法規�����、標準及自身的數據安全相關管理制度�����、規范�����、標準執行����。
5)數據安全運營管控建設�。數據安全保障體系因其業務的持續性��,需要進行長期性服務�,建立完善的數據安全運營團隊是必然選擇���。
6)數據安全監管�。公安機關作為監管單位���,將依法履職盡責���,對數據處理者履行數據風險監測與風險評估等數據安全保護義務等行為依法開展監督管理���。
數據安全保障體系六步走���,共分為數據安全治理評估����、數據安全組織結構建設���、數據安全管理制度建設����、數據安全技術保護體系建設���、數據安全運營管控建設����、數據安全監管建設����。數據安全保障體系建設需要明確“技術”與“管理”并重思路���,把“技術”作為“管理”的延續���,即基于數據全生命周期構建數據安全指標�����,借助豐富的數據安全監測手段以及快速響應機制等����,通過技術手段的不斷進步逐一落實數據安全管理目標��。
據Bleeping Computer消息�,安全研究人員發現了一種新型的惡意軟件傳播活動����,攻擊者通過使用PDF附件夾帶惡意的Word文檔�,從而使用戶感染惡意軟件�����。
類似的惡意軟件傳播方式在以往可不多見�����。在大多數人的印象中�����,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道��。隨著人們對電子釣魚郵件的警惕性越來越高����,攻擊者開始轉向其他的方法來部署惡意軟件并逃避檢測���。其中����,使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一�����。在HP Wolf Security最新發布的報告中�,詳細說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具��,這些宏在受害者的機器上下載和安裝信息竊取惡意軟件�。在HP Wolf Security發布的報告中����,攻擊者向受害人發送電子郵件���,附件被命名為“匯款發票”的PDF文件���,而電子郵件的正文則是向收件人付款的模糊話術���。當用戶打開PDF文件時����,Adobe Reader會提示用戶打開其中包含的DOCX文件���。攻擊者巧妙地將嵌入的Word文檔命名為“已驗證”�����,那么彈出的“打開文件”提示聲明就會變成文件是“已驗證的”�。此時����,出于對Adobe Reader或其他PDF閱讀器的信任��,很多用戶就會被誘導下載并打開該惡意文件��,惡意軟件也就進入了受害者的電腦中���。
隨著人們對電子釣魚郵件的警惕性越來越高���,以此對打開惡意Microsoft Office附件的了解越來越多����,攻擊者開始轉向其他的方法來部署惡意軟件并逃避檢測��。雖然專業的網絡安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件��,但是對于普通用戶來說��,收到此類PDF文件卻很難解決其中的問題����,往往是在不知情的情況下中招���。
數據訪問管理是組織進行的一個過程�,用于確定誰可以訪問哪些數據資產���。使公司能夠保護機密信息�����、定義數據所有權并實施托管訪問控制�,使用戶能夠實現數據驅動的創新�。實施成功的數據訪問管理的步驟包括:
1)發現和分類敏感數據���。一旦發現所有數據的存儲位置����,需要采取進一步的步驟來標記�、分類和評分它的敏感性��。當數據是正確分類�,可以集中精力保護最敏感的數據資產���。將能夠更有效地查明資源和工作����。
2)分配訪問控制�����。用在數據訪問管理計劃的第一階段完成的風險評估�����,可以為各個業務用戶創建訪問控制���。但是��,與其逐個用戶授予訪問權限����,不如根據定義的角色��、職責和分類來分配權限�����。
3)分析用戶行為���。該過程目的是分析業務用戶如何更改���、復制�����、創建或刪除貴公司系統中的敏感數據����。此分析將能夠確定用戶是否有權進行他們所做的修改以及是否需要撤消任何更改�。
4)審查合規要求�。對于許多監管機構來說��,仍然需要通過填寫合規證書來證明不會違反任何合規性法規��。
當公司使用數據治理工具時�,數據訪問管理會更加有效且勞動強度更低���。數據治理工具可以毫不費力地輕松找到數據源并將其編目在一個位置�。如果沒有足夠的數據訪問管理策略��,數據治理計劃將會失敗�����。數據訪問不僅僅是保護敏感數據���。如果沒有適當的訪問管理����,就不能期望用戶從他們所掌握的數據中獲得潛在價值�����。但是�����,不能直接參與數據管理計劃����。就像一個成熟的數據治理計劃一樣���,它必須有條不紊地進行衡量和執行��。