疫情肆虐全球的上半年,網(wǎng)絡(luò)釣魚攻擊增加了600%��,勒索軟件攻擊增加了148%����,F(xiàn)BI報告的網(wǎng)絡(luò)犯罪暴增了300%���。而企業(yè)的檢測與響應(yīng)能力和速度���,卻并沒有成比例增加,這也使得各種DR解決方案成為當(dāng)下企業(yè)的安全投資熱點(diǎn)���。
讓客戶滿意是我們工作的目標(biāo)�,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛�。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶��,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴����,公司提供的服務(wù)項目有:域名注冊、網(wǎng)頁空間�����、營銷軟件�、網(wǎng)站建設(shè)、烏爾禾網(wǎng)站維護(hù)�、網(wǎng)站推廣。
網(wǎng)絡(luò)檢測和響應(yīng)(NDR)解決方案能夠幫助企業(yè)增強(qiáng)威脅響應(yīng)能力�,提高網(wǎng)絡(luò)安全的可見性和威脅免疫力。
要為業(yè)務(wù)選擇合適的網(wǎng)絡(luò)檢測和響應(yīng)解決方案�,企業(yè)需要考慮的因素有很多,以下��,我們整理了幾位網(wǎng)絡(luò)安全專家對NDR選型給出的建議供企業(yè)參考�。
Mike Hamilton,CI Security首席技術(shù)官
選擇網(wǎng)絡(luò)檢測和響應(yīng)解決方案包含一系列技術(shù)和崗位人員�,對于不同的企業(yè)來說,技術(shù)與人員的組合都是高度定制化的�,這里有三種不同路徑:
- 托管。托管的檢測和響應(yīng)服務(wù)結(jié)合多種技術(shù)從網(wǎng)絡(luò)中收集信息��,例如檢測分析以識別異常活動�����,以及相關(guān)分析人員根據(jù)預(yù)定義的操作手冊進(jìn)行調(diào)查��、確認(rèn)和執(zhí)行響應(yīng)操作�����,這些都已服務(wù)的方式提供���。
- 運(yùn)營。您擁有NDR的技術(shù)�、操作人員以及響應(yīng)、恢復(fù)和記錄保存的流程�。這就是許多企業(yè)的發(fā)展路徑,但是這條路往往是越走越難�。
- 自動化。最先進(jìn)的技術(shù)就是自動化:SOAR和其他方法可以利用您的預(yù)防和檢測控制工具與措施�,并將其集成起來,并由技術(shù)來自動響應(yīng)和行動�。
要確定是通過托管、操作還是自動化來提供最佳服務(wù)�,請詢問供應(yīng)商:
- 部署的速度/便捷程度如何?
- 解決方案是否收集并分析所有數(shù)據(jù)源?
- 對于運(yùn)營模式����,資源成本是多少���,包括將資源分配給網(wǎng)絡(luò)安全的機(jī)會成本對項目會構(gòu)成何種影響?
- 對于托管模式�����,提供商如何尋找和保留威脅獵人和分析師?
- 對于自動化模式����,誤報的最壞情況是什么?
Rahul Kashyap����,Awake Security首席執(zhí)行官
選擇網(wǎng)絡(luò)檢測和響應(yīng)解決方案(NDR)可以防御非惡意軟件威脅,包括內(nèi)部攻擊��、證書濫用���、橫向移動和數(shù)據(jù)泄露等�。NDR使企業(yè)可以更清楚地了解網(wǎng)絡(luò)的實(shí)際狀況以及所發(fā)生的活動�����。但是,并非所有NDR解決方案都是平等的����。為了使價值最大化,建議用戶考慮以下三個關(guān)鍵參數(shù):
- 數(shù)據(jù):尋找能夠解析整個數(shù)據(jù)包而不是局限于NetFlow或IDS警報的解決方案�����。這提供了更大的可見度��,使解決方案能夠識別更多相關(guān)威脅��。
- 機(jī)器學(xué)習(xí)和AI:避免使用主要依賴無監(jiān)督機(jī)器學(xué)習(xí)并充當(dāng)黑匣子的解決方案��。這類產(chǎn)品的誤報會產(chǎn)生大量的運(yùn)營開銷����,并且不能向分析師提供解釋問題被標(biāo)記的原因的信息�。
- 用例:能否替換現(xiàn)有的網(wǎng)絡(luò)取證、威脅搜尋等解決方案來減少工具泛濫�����。這有助于鞏固和現(xiàn)代化你的安全運(yùn)營�����,從而提高安全團(tuán)隊效率。
像任何其他安全解決方案一樣���,僅獲取新的NDR工具并不能提高安全性�。以我的經(jīng)驗�,購買者在決定技術(shù)堆棧時必須考慮對運(yùn)營的影響,這一點(diǎn)至關(guān)重要����。
Igor Mezic,MixMode首席技術(shù)官
選擇網(wǎng)絡(luò)檢測和響應(yīng)解決方案選擇NDR解決方案時���,應(yīng)詢問有關(guān)基礎(chǔ)方法的一些關(guān)鍵問題:
- AI NDR智能檢測響應(yīng)系統(tǒng)是否部分或完全取決于規(guī)則?如果是這樣����,與調(diào)整和維護(hù)規(guī)則集相關(guān)的開銷是多少?在現(xiàn)代安全環(huán)境中�,攻擊媒介正在迅速變化,大大超過了規(guī)則開發(fā)的工作量����。基于規(guī)則的信息可以用作上下文,但不能用作主要信息源��。機(jī)器學(xué)習(xí)系統(tǒng)的核心應(yīng)適應(yīng)新的網(wǎng)絡(luò)條件��,因此應(yīng)獨(dú)立于靜態(tài)規(guī)則�����。
- 檢測的誤報率中假陽性占比多少?假陰性占比是多少?NDR的響應(yīng)功能高度依賴檢測的質(zhì)量�����。因誤報關(guān)閉子網(wǎng)可能會破壞正常的網(wǎng)絡(luò)運(yùn)行�。在基于規(guī)則的系統(tǒng)和使用基于標(biāo)簽的監(jiān)督學(xué)習(xí)方法的系統(tǒng)中,會有大量誤報(包括假陽性和假陰性)���?�;诰垲惡拓惾~斯方法的無監(jiān)督系統(tǒng)通常也有較高的“假陽性”誤報率�。
- 當(dāng)我們向網(wǎng)絡(luò)添加新的子網(wǎng)或路由器時會發(fā)生什么?NDR系統(tǒng)是否必須重新學(xué)習(xí)一切?在現(xiàn)成的機(jī)器學(xué)習(xí)系統(tǒng)中學(xué)習(xí)可能需要6到24個月的時間���。如果每次將新組件添加到網(wǎng)絡(luò)時都要重復(fù)該循環(huán),那么該方案就存在較大的局限性�。AI系統(tǒng)必須在不增加額外學(xué)習(xí)時間的情況下適應(yīng)網(wǎng)絡(luò)上的新狀況。
- 檢測系統(tǒng)是否容易被欺騙?眾所周知,非生成式機(jī)器學(xué)習(xí)方法很容易通過注入損壞的數(shù)據(jù)樣本來欺騙�,從而使系統(tǒng)無法識別特定的攻擊。
史蒂夫·米勒(Steve Miller)�����,F(xiàn)ireEye首席應(yīng)用安全研究員
網(wǎng)絡(luò)檢測和響應(yīng)解決方案(NDR)應(yīng)當(dāng)支持多種形式的安全操作和行動��。
檢測事件必須區(qū)分為不同的優(yōu)先級類別��。事件優(yōu)先級或嚴(yán)重性劃分可以確保重要的��,合格的網(wǎng)絡(luò)檢測事件位居任務(wù)列表的頂部�。您的安全團(tuán)隊可以優(yōu)先處理“頭部”檢測事件,并對受影響的資產(chǎn)進(jìn)行更加謹(jǐn)慎和快速的響應(yīng)�����。
網(wǎng)絡(luò)活動必須有歷史記錄���。這可以是在一段時間內(nèi)存儲的完整數(shù)據(jù)包捕獲��,也可以只是在每個網(wǎng)絡(luò)檢測事件之前和之后5分鐘的“時間片段”中捕獲數(shù)據(jù)包�。解決方案應(yīng)包括抽象的網(wǎng)絡(luò)日志記錄�����,例如Netflow和HTTP事件日志記錄。日志記錄越多�,調(diào)查就越容易。
解決方案必須啟用行動警報自動化�。分析警報時,分析人員會執(zhí)行例行動作來收集有助于確認(rèn)和響應(yīng)方式的信息����。解決方案必須啟用與警報關(guān)聯(lián)的自動數(shù)據(jù)收集,以備分析人員檢查�����,從而減少手動操作���。
從功能上講���,NDR解決方案必須輕松集成和收集來自其他技術(shù)堆棧的上下文數(shù)據(jù),例如:DHCP租用����、被動DNS解析�、威脅參與者或惡意軟件關(guān)聯(lián),以及可能通過隔離、阻止或操縱數(shù)據(jù)包來緩解或減少惡意事件影響的網(wǎng)絡(luò)/資產(chǎn)“處理”系統(tǒng)����。自動提供上下文數(shù)據(jù)和“處理”選項是采取行動的基礎(chǔ),而行動通常是人類工作流程中最費(fèi)力的部分���。
JyothishVarma�����,Nuspire產(chǎn)品管理總監(jiān)
當(dāng)企業(yè)準(zhǔn)備投資檢測與響應(yīng)托管服務(wù)(MDR)時�����,他們應(yīng)考慮投資那些能夠檢測可繞過現(xiàn)有安全控制措施的攻擊的解決方案��。對于那些具有靜態(tài)檢測機(jī)制的解決方案�,如果黑客使用的漏洞沒有觸發(fā)預(yù)設(shè)的規(guī)則���,那么沒人會知道攻擊已經(jīng)發(fā)生��。
因此��,企業(yè)必須依靠那些通過高級威脅檢測和響應(yīng)解決方案��,以及訓(xùn)練有素的安全分析人員來增強(qiáng)安全控制能力的解決方案或托管服務(wù)���,這些分析人員應(yīng)經(jīng)過系統(tǒng)培訓(xùn)�,能夠主動發(fā)現(xiàn)威脅����。
企業(yè)選擇的MDR方案還應(yīng)當(dāng)可以實(shí)時檢測攻擊,并且有專家全天候工作���,以調(diào)查和響應(yīng)可能被技術(shù)漏掉的警報�����。MDR服務(wù)商需要提供24/7/365安全運(yùn)營中心的服務(wù)�,其中配備了安全分析人員�����,可確保您可以充分利用專家資源來檢測攻擊�����,并根據(jù)需要協(xié)調(diào)事件響應(yīng)計劃�����。通過與擁有24/7全天候安全運(yùn)營中心的提供商合作����,現(xiàn)有的企業(yè)安全團(tuán)隊將提高工作效率,并減少因誤報而浪費(fèi)的時間�����。
戳這里�,看該作者更多好文
當(dāng)前名稱:如何選擇網(wǎng)絡(luò)檢測與響應(yīng)解決方案(NDR)?
標(biāo)題URL:
http://uogjgqi.cn/article/cdsoipe.html
