“分析”正逐渐渗入IT系统各组件。从用例中收集到关于数据、网络和用户行为的分析,我们对此信息有着无穷的利用可能。但是,说到钻研这些数据以得出安全决策,这种可能包含陷阱的巨量信息,真的那么有用吗?为避免掉进分析陷阱,安全专业人士提供了找出最佳安全分析配置方式,以产出有意义且具可行性洞见的建议。
1. 塑造环境,增加“真警报”检测率
Armor首席安全官杰夫·希林说:“我是‘少数据分析’的支持者。我这么说的意思是,你应该塑造你的环境,只去查看那些最有可能是真警报的事件。在已知威胁触及你的安全栈之前就将之挡在门外。要做到这一点,你可以利用IP信誉管理,或者DNS监测/封锁。这将挡住对你公司80%的非针对性攻击。”
2. 调整安全事件管理(SIEM)功能
很多安全团队在处理成千上万条被自家SIEM认为是高危的事件时举步维艰,这些所谓的‘高危事件’其实是误报,或者不过是告诉你安全措施正在起效的通知而已(比如:防火墙规则触发)。这或许会需要SIEM提供商的专业服务来帮忙,但节省下来的安全团队非重要警报挖掘工时,却是很值回票价的。
把安全团队的精力放在公司最重要的部分吧。要说服企业主不是每件事都值得保护是挺难的,他们自己在告诉你对自家业务部门真正重要的事上也挺挣扎。
3. 在早期阶段捕获威胁
BlueCat首席技术官安德鲁·维特金:随着安全威胁通过多种攻击方式不断进化,单纯依靠预防性方法缓解已知风险已不足够。安全分析已成为在安全事件发生后进行鉴证分析的基本工具。然而,只要使用得当,安全分析也可以帮助公司识别可疑行为,无论是内部的还是外部的,并能在潜在风险表现出来之前就主动封禁掉,还能对不断进化的威胁提供早期预警。
4. 数据并非越多越好
Citrix首席安全官斯坦·布莱克:在构建安全数据池、数据云和数据集群之前,先搞清自己公司的目的,比如识别诈骗、内部人、恶意行为人、错误、误操作等等。先排出预期结果的优先级,再去看那些不需要分析的数据。技术不会从事网络犯罪,人才会。有了这个认知,分析通常始于角色挖掘,基于经验量化出用户能做、可能会做,或不应该做的事,可以建立起一条用户底线。通过定义“已知良好”,安全分析便能专注在“未知”和“异常”上来发现潜在威胁。
5. 减少网络安全警报流入
E8 Security 共同创始人兼首席技术官拉维·德威尔第:建立在全公司通用的阈值/策略上的遗留安全技术,通常会造成过多警报和误报。行为建模和对网络中每个用户、系统、应用、终端制订基线的安全分析,则会为公司的威胁预防工作带来最高的准确度。攻击者行为的检测,例如被盗凭证、命令与控制流量、后门、公司内网巡游等,将不再迷失在噪音中。
6. 成为威胁猎手
多亏安全分析的使用,威胁狩猎正成为安全运营的一个新兴领域。其与传统安全的一个重要区别,在于‘威胁狩猎’的目标不是检测出恶意软件,而是更倾向于识别出攻击者的存在、行为和动作,并尽可能快地控制起那些行动。安全分析通过提供对网络、用户、终端和应用活动中的行为、模式和异常的可见性,而是威胁狩猎成为可能。
7. 利用上下文减少事件响应时间
安全运营和事件响应团队在调查安全事件时需要上下文的帮助。安全分析工具能为安全警报和事件调查提供行为情报上下文。跨多个数据孤岛快速互动分析当前和历史行为、模式、异常的能力,能带来更快的事件分析,消除对技术资源和手动分析(通常使用笨重的SIEM或枯燥的搜索引擎)的依赖。
8. 首先,缩小攻击范围,然后,补完分析
Palo Alto Networks 副总裁兼首席信息安全官卢卡斯·穆迪:安全分析带来了得到更好更有效的检测识别的希望,让我们能够快速响应威胁,挫败攻击者,甚至摆脱攻击者。虽说是个宏伟目标,这一策略的挑战却在于规模。安全分析作为结果,必须存在于缩小攻击范围的目标背后,与威胁预防的强力战略性基础为伍。注重安全的公司,应掀起当前技术利用方式的大变革,实现更强的预防性控制。这么做,将反过来使得分析能够以可控可伸缩的方式解决下游风险。强大的威胁分析师很难找到,且他们需要专注在“少量关键威胁”而非“噪音”上。
9. 警惕误报
白帽安全公司威胁研究中心副总裁莱恩·奥利:在任何公司里,运营安全项目中更困难的方面之一,就是从可信来源获取正确的安全指标。很多公司都称自己能提供安全分析,但很少有公司能提供有意义的经验证的安全统计数据。在Web应用领域,这种现象尤其突出。主要的问题在于,安全工具常常产出超出想象的大量误报。在购买任何分析之前,一定要确保那家公司在拿出统计数据之前先进行漏洞验证。另外,问清楚误报率,这样你才可以确定提供商的分析有多准确。
10. 用分析支持开销
安全中最困难的部分,在于合理化对不会产生任何利润的东西的开支,而分析对此有所帮助。为合理化开支,你需要知道风险和财政影响。通过使用分析,你能展示出遭受攻击的可能性,以及实现安全并解决问题的开销。
本文转自d1net(转载)