企業(yè)安全運(yùn)營(yíng)自動(dòng)化(SOAR)應(yīng)用指南
當(dāng)前��,企業(yè)組織面臨越來(lái)越多的網(wǎng)絡(luò)安全威脅��,在資源和專業(yè)人才有限的情況下�����,借助新一代安全技術(shù)實(shí)現(xiàn)企業(yè)安全運(yùn)營(yíng)工作自動(dòng)化成為企業(yè)的必然選擇。SOAR(安全編排自動(dòng)化與響應(yīng))技術(shù)因其在安全自動(dòng)化響應(yīng)方面獨(dú)具優(yōu)勢(shì)��,能夠幫助企業(yè)解決安全事件響應(yīng)過(guò)程中人員短缺���、改進(jìn)警報(bào)分類質(zhì)量和速度等問(wèn)題���,受到更多企業(yè)用戶的關(guān)注。
從實(shí)戰(zhàn)角度看�,SOAR 有三個(gè)核心思想:一是安全分析處置經(jīng)驗(yàn)總結(jié)固化重用;二是安全分析處置操作盡可能自動(dòng)化�;三是 SIEM、安管�����、態(tài)勢(shì)感知等產(chǎn)品的能力延伸��。SOAR 建設(shè)不是一蹴而就的���,按照經(jīng)驗(yàn)其合理的推進(jìn)過(guò)程為:首先,建立 SIEM�、安管�����、態(tài)勢(shì)感知等平臺(tái)���,匯聚安全數(shù)據(jù),建立專業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)�,實(shí)現(xiàn)安全數(shù)據(jù)集中化研判分析;其次����,建立 SOAR 平臺(tái),將安全運(yùn)營(yíng)團(tuán)隊(duì)中最常開(kāi)展的研判分析任務(wù)固化為劇本��,開(kāi)展自動(dòng)化輔助研判���;最后����,完善 SOAR 劇本庫(kù)��,根據(jù)大部分安全運(yùn)營(yíng)團(tuán)隊(duì)工作�����,梳理可固化的劇本,接入所需聯(lián)動(dòng)對(duì)象��,提升完善 SOAR 劇本庫(kù)�����,最大化地開(kāi)展自動(dòng)化運(yùn)營(yíng)�����。
SOAR 的本質(zhì)是通過(guò)安全編排�����、自動(dòng)化與響應(yīng)技術(shù)將安全運(yùn)營(yíng)相關(guān)的人�����、技術(shù)和流程進(jìn)行整合���,有序處理多源異構(gòu)數(shù)據(jù),持續(xù)進(jìn)行安全告警分診與調(diào)查���、攻擊分析����、威脅處置、事件響應(yīng)��,衡量并改善安全運(yùn)營(yíng)效率����、簡(jiǎn)化安全運(yùn)營(yíng)管理、為安全團(tuán)隊(duì)賦能�����。其短期目標(biāo)是實(shí)現(xiàn)手動(dòng)任務(wù)和重復(fù)性任務(wù)的自動(dòng)化�,縮短威脅的補(bǔ)救時(shí)間,長(zhǎng)期目標(biāo)是從綜合安全運(yùn)營(yíng)視角找到可以量化�����、標(biāo)準(zhǔn)化的抓手去提升安全運(yùn)營(yíng)成熟度����。
企業(yè)如何建立強(qiáng)大的內(nèi)部威脅計(jì)劃調(diào)研機(jī)構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報(bào)告中指出,只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專門的內(nèi)部威脅計(jì)劃�����,25%企業(yè)則將支出用于防范外部威脅。內(nèi)部威脅計(jì)劃協(xié)調(diào)不同業(yè)務(wù)部門的政策��、程序和流程�����,以應(yīng)對(duì)內(nèi)部威脅�。它被廣泛認(rèn)為對(duì)緩解內(nèi)部威脅至關(guān)重要,企業(yè)該如何開(kāi)始構(gòu)建內(nèi)部威脅計(jì)劃呢�?
首先,企業(yè)需要專門的工作組來(lái)幫助指導(dǎo)內(nèi)部威脅計(jì)劃�。工作組成員需要有明確的角色和責(zé)任,并采用同一套道德準(zhǔn)則或簽署保密協(xié)議����。這是因?yàn)橛性S多與員工隱私和監(jiān)控相關(guān)的法律,以及在制定和執(zhí)行政策時(shí)必須考慮的法律和擔(dān)憂�����。工作組的第一項(xiàng)工作將是制定運(yùn)營(yíng)計(jì)劃����,并制定防范內(nèi)部威脅政策的高級(jí)版本。然后,他們需要考慮如何盤點(diǎn)和訪問(wèn)內(nèi)部和外部數(shù)據(jù)源�。為此����,工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集���、整合和分析數(shù)據(jù)所需的流程和程序����,應(yīng)該根據(jù)數(shù)據(jù)的用途對(duì)數(shù)據(jù)進(jìn)行標(biāo)記���。
實(shí)施內(nèi)部威脅計(jì)劃的目的是確保不僅業(yè)務(wù)�����、數(shù)據(jù)或流程受到保護(hù)���,而且員工也受到保護(hù)。通過(guò)秘密監(jiān)控工作流���,可以更準(zhǔn)確地標(biāo)記危害指標(biāo)�����,幫助防止事件升級(jí)�����。但是�,當(dāng)不可想象的事情發(fā)生時(shí),如果毫無(wú)戒心的員工泄露了敏感數(shù)據(jù)�,那么擁有強(qiáng)大的可防御流程(這些流程已經(jīng)記錄了事件),就可以更輕松地進(jìn)行數(shù)字取證調(diào)查����,并迅速解決問(wèn)題。
五項(xiàng)簡(jiǎn)單操作 保護(hù)數(shù)據(jù)安全數(shù)字化讓世界變得越來(lái)越小�����,信息變的越來(lái)越有價(jià)值���,數(shù)字化也增加了帳號(hào)信息泄露���、計(jì)算機(jī)遭竊取及劫持等風(fēng)險(xiǎn),主要是惡意軟件攻擊��、勒索錢財(cái),不過(guò)并非沒(méi)有辦法��,跟隨五項(xiàng)安全基本原則幫您抵御惡意/勒索軟件攻擊�。
1.了解常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)例子。用來(lái)網(wǎng)絡(luò)釣魚(yú)的電子郵件通常還包含附件或鏈接�����,建議不要打開(kāi)這些可疑的電子郵件并且立即將它刪除���。
2. 設(shè)置雙重身份驗(yàn)證。大多數(shù)的服務(wù)現(xiàn)在都提供雙重身份驗(yàn)證功能����,尤其是涉及敏感個(gè)人數(shù)據(jù)時(shí),以防黑客攻擊���。
3. 部署SSL證書(shū)以確保安全�����。部署SSL證書(shū)����,網(wǎng)站實(shí)現(xiàn)https加密,可以驗(yàn)證網(wǎng)站的真實(shí)性��,辨別釣魚(yú)網(wǎng)站���。
4. 避開(kāi)可疑鏈接�、郵件和附件�����。平時(shí)在上網(wǎng)時(shí)一定要謹(jǐn)慎�,千萬(wàn)要避開(kāi)這些不安全的鏈接、郵件或附件���。
5. 彌補(bǔ)系統(tǒng)漏洞��。定期全面檢查企業(yè)現(xiàn)行辦公系統(tǒng)和應(yīng)用���,發(fā)現(xiàn)漏洞后,及時(shí)進(jìn)行系統(tǒng)修復(fù)�,避免漏洞被黑客利用造成機(jī)密泄露。
隨著安防行業(yè)大聯(lián)網(wǎng)�����、大集成趨勢(shì)的日益明顯,視頻監(jiān)控等領(lǐng)域產(chǎn)生的數(shù)據(jù)也越來(lái)越多�,安防大數(shù)據(jù)得到不斷提升。我們的生活到處都是信息采集設(shè)備��,甚至一臺(tái)智能電視���、智能冰箱���,都能實(shí)時(shí)采集用戶的數(shù)據(jù)和信息�,每一個(gè)智能產(chǎn)物都可能面臨數(shù)據(jù)安全的威脅。而還是有很多企業(yè)和用戶并沒(méi)有關(guān)注到網(wǎng)絡(luò)安防的重要性�,為用戶的個(gè)人信息安全提供最大限度的保障。
對(duì)DDoS 攻擊進(jìn)行防護(hù)的幾種措施卡內(nèi)基梅隆大學(xué)軟件工程研究所的研究員 Rachel Kartch建議組織實(shí)施四個(gè)最佳實(shí)踐來(lái)緩解 DDoS 攻擊�。
1)使架構(gòu)盡可能具有彈性。組織應(yīng)分散資產(chǎn)以避免向攻擊者展示有吸引力的目標(biāo)�����。將服務(wù)器部署在不同的數(shù)據(jù)中心�,確保數(shù)據(jù)中心位于不同的網(wǎng)絡(luò),路徑多樣���,確保數(shù)據(jù)中心和網(wǎng)絡(luò)不存在瓶頸和單點(diǎn)故障��。
2)部署可以處理 DDoS 攻擊的硬件�����。組織應(yīng)使用旨在保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)和安全硬件中的設(shè)置�����。許多下一代網(wǎng)絡(luò)防火墻�����、Web 應(yīng)用程序防火墻和負(fù)載均衡器可以防御協(xié)議和應(yīng)用程序攻擊�。還可以部署專業(yè)的 DDoS 緩解設(shè)備。
3)擴(kuò)大網(wǎng)絡(luò)帶寬����。如果組織負(fù)擔(dān)得起,他們應(yīng)該擴(kuò)展帶寬以吸收容量攻擊�。對(duì)于沒(méi)有財(cái)務(wù)資源來(lái)投資更多帶寬的小型組織而言,這一步可能很困難���。
4)使用 DDoS 緩解提供商�。組織可以求助于專門響應(yīng) DDoS 攻擊的大型提供商�����,方法是使用云清理服務(wù)來(lái)處理攻擊流量,在流量到達(dá)組織網(wǎng)絡(luò)之前將其轉(zhuǎn)移到緩解中心�。
自2020年以來(lái), DDoS 攻擊無(wú)論是攻擊數(shù)量���、攻擊規(guī)模還是使用的攻擊向量數(shù)�,都在大規(guī)模爆發(fā)��。根據(jù)Bank InfoSecurity咨詢的安全專家����,公司應(yīng)該使用基于云的 Web 服務(wù)器來(lái)處理 DDoS 攻擊的高流量����,進(jìn)行模擬真實(shí)世界 DDoS 攻擊的練習(xí),組織可以采取多種措施來(lái)防止攻擊并減輕其影響��。在 DDoS 之前制定中斷緩解和響應(yīng)策略攻擊命中并培訓(xùn)員工如何識(shí)別和響應(yīng) DDoS 攻擊���。
企業(yè)數(shù)據(jù)安全管理體系建設(shè)“六步走”�����!1)數(shù)據(jù)安全治理評(píng)估��。開(kāi)展數(shù)據(jù)風(fēng)險(xiǎn)發(fā)現(xiàn)過(guò)程——數(shù)據(jù)安全治理評(píng)估——才能對(duì)自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險(xiǎn)采取技防監(jiān)測(cè)�����、控制手段解決����,
2)數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)。在開(kāi)展組織架構(gòu)建設(shè)時(shí)�����,需要考慮組織層面實(shí)體的管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì)��,同時(shí)也要考慮虛擬的聯(lián)動(dòng)小組���,所有部門均需要參與安全建設(shè)當(dāng)中
3)數(shù)據(jù)安全管理制度建設(shè)����。從業(yè)務(wù)數(shù)據(jù)安全需求��、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)�、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范�����、程序等����。
4)數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)。具體保護(hù)要求及措施����,可參照國(guó)家相關(guān)法律、法規(guī)�、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范�����、標(biāo)準(zhǔn)執(zhí)行�����。
5)數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)��。數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性��,需要進(jìn)行長(zhǎng)期性服務(wù)�����,建立完善的數(shù)據(jù)安全運(yùn)營(yíng)團(tuán)隊(duì)是必然選擇�����。
6)數(shù)據(jù)安全監(jiān)管����。公安機(jī)關(guān)作為監(jiān)管單位,將依法履職盡責(zé)�,對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全保護(hù)義務(wù)等行為依法開(kāi)展監(jiān)督管理。
數(shù)據(jù)安全保障體系六步走���,共分為數(shù)據(jù)安全治理評(píng)估���、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)����、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)���。數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路�,把“技術(shù)”作為“管理”的延續(xù)�,即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo),借助豐富的數(shù)據(jù)安全監(jiān)測(cè)手段以及快速響應(yīng)機(jī)制等����,通過(guò)技術(shù)手段的不斷進(jìn)步逐一落實(shí)數(shù)據(jù)安全管理目標(biāo)。
據(jù)Bleeping Computer消息,安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動(dòng)���,攻擊者通過(guò)使用PDF附件夾帶惡意的Word文檔�,從而使用戶感染惡意軟件��。
類似的惡意軟件傳播方式在以往可不多見(jiàn)��。在大多數(shù)人的印象中��,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道�。隨著人們對(duì)電子釣魚(yú)郵件的警惕性越來(lái)越高�����,攻擊者開(kāi)始轉(zhuǎn)向其他的方法來(lái)部署惡意軟件并逃避檢測(cè)。其中���,使用PDF來(lái)傳播惡意軟件就是攻擊者選擇的方向之一�����。在HP Wolf Security最新發(fā)布的報(bào)告中�,詳細(xì)說(shuō)明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具����,這些宏在受害者的機(jī)器上下載和安裝信息竊取惡意軟件。在HP Wolf Security發(fā)布的報(bào)告中��,攻擊者向受害人發(fā)送電子郵件��,附件被命名為“匯款發(fā)票”的PDF文件��,而電子郵件的正文則是向收件人付款的模糊話術(shù)��。當(dāng)用戶打開(kāi)PDF文件時(shí)���,Adobe Reader會(huì)提示用戶打開(kāi)其中包含的DOCX文件�����。攻擊者巧妙地將嵌入的Word文檔命名為“已驗(yàn)證”��,那么彈出的“打開(kāi)文件”提示聲明就會(huì)變成文件是“已驗(yàn)證的”���。此時(shí)���,出于對(duì)Adobe Reader或其他PDF閱讀器的信任,很多用戶就會(huì)被誘導(dǎo)下載并打開(kāi)該惡意文件����,惡意軟件也就進(jìn)入了受害者的電腦中。
隨著人們對(duì)電子釣魚(yú)郵件的警惕性越來(lái)越高�,以此對(duì)打開(kāi)惡意Microsoft Office附件的了解越來(lái)越多,攻擊者開(kāi)始轉(zhuǎn)向其他的方法來(lái)部署惡意軟件并逃避檢測(cè)����。雖然專業(yè)的網(wǎng)絡(luò)安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件,但是對(duì)于普通用戶來(lái)說(shuō)�����,收到此類PDF文件卻很難解決其中的問(wèn)題��,往往是在不知情的情況下中招。
數(shù)據(jù)訪問(wèn)管理基礎(chǔ)和實(shí)施策略數(shù)據(jù)訪問(wèn)管理是組織進(jìn)行的一個(gè)過(guò)程��,用于確定誰(shuí)可以訪問(wèn)哪些數(shù)據(jù)資產(chǎn)����。使公司能夠保護(hù)機(jī)密信息���、定義數(shù)據(jù)所有權(quán)并實(shí)施托管訪問(wèn)控制���,使用戶能夠?qū)崿F(xiàn)數(shù)據(jù)驅(qū)動(dòng)的創(chuàng)新。實(shí)施成功的數(shù)據(jù)訪問(wèn)管理的步驟包括:
1)發(fā)現(xiàn)和分類敏感數(shù)據(jù)�。一旦發(fā)現(xiàn)所有數(shù)據(jù)的存儲(chǔ)位置,需要采取進(jìn)一步的步驟來(lái)標(biāo)記�、分類和評(píng)分它的敏感性。當(dāng)數(shù)據(jù)是正確分類��,可以集中精力保護(hù)最敏感的數(shù)據(jù)資產(chǎn)���。將能夠更有效地查明資源和工作����。
2)分配訪問(wèn)控制����。用在數(shù)據(jù)訪問(wèn)管理計(jì)劃的第一階段完成的風(fēng)險(xiǎn)評(píng)估�����,可以為各個(gè)業(yè)務(wù)用戶創(chuàng)建訪問(wèn)控制�。但是�,與其逐個(gè)用戶授予訪問(wèn)權(quán)限,不如根據(jù)定義的角色����、職責(zé)和分類來(lái)分配權(quán)限。
3)分析用戶行為����。該過(guò)程目的是分析業(yè)務(wù)用戶如何更改、復(fù)制���、創(chuàng)建或刪除貴公司系統(tǒng)中的敏感數(shù)據(jù)�。此分析將能夠確定用戶是否有權(quán)進(jìn)行他們所做的修改以及是否需要撤消任何更改�。
4)審查合規(guī)要求。對(duì)于許多監(jiān)管機(jī)構(gòu)來(lái)說(shuō)���,仍然需要通過(guò)填寫合規(guī)證書(shū)來(lái)證明不會(huì)違反任何合規(guī)性法規(guī)����。
當(dāng)公司使用數(shù)據(jù)治理工具時(shí),數(shù)據(jù)訪問(wèn)管理會(huì)更加有效且勞動(dòng)強(qiáng)度更低��。數(shù)據(jù)治理工具可以毫不費(fèi)力地輕松找到數(shù)據(jù)源并將其編目在一個(gè)位置����。如果沒(méi)有足夠的數(shù)據(jù)訪問(wèn)管理策略�,數(shù)據(jù)治理計(jì)劃將會(huì)失敗。數(shù)據(jù)訪問(wèn)不僅僅是保護(hù)敏感數(shù)據(jù)�����。如果沒(méi)有適當(dāng)?shù)脑L問(wèn)管理����,就不能期望用戶從他們所掌握的數(shù)據(jù)中獲得潛在價(jià)值。但是�,不能直接參與數(shù)據(jù)管理計(jì)劃。就像一個(gè)成熟的數(shù)據(jù)治理計(jì)劃一樣��,它必須有條不紊地進(jìn)行衡量和執(zhí)行�����。