安全黃金法則：1分鐘檢測10分鐘調(diào)查60分鐘控制

1、安全黃金法則：1分鐘檢測，10分鐘調(diào)查,60分鐘控制導(dǎo)語對于現(xiàn)在組織機構(gòu)而言，網(wǎng)絡(luò)安全攻擊無可避免，有效防護的關(guān)鍵 是速度和準(zhǔn)確度。當(dāng)面臨攻擊時候,企業(yè)能做就是快速反應(yīng)，包括： .盡可能快檢測事件徹底調(diào)查該事件，發(fā)現(xiàn)你需要解決一切問題在它爆發(fā)和造成危害之前控制住它很多企業(yè)組織機構(gòu)也知道速度的重要性，但是不確定如何將其轉(zhuǎn)化為 可衡量的標(biāo)準(zhǔn)。在這里推薦1-10-60規(guī)則，即分鐘進行檢測,10分鐘 進行調(diào)查，60分鐘進行控制和補救。努力遵守這一規(guī)則的組織能夠更好地 防范威脅，并在網(wǎng)絡(luò)安全事件發(fā)生時成功地補救。那么組織機構(gòu)距離安全標(biāo)準(zhǔn)到底有多遠(yuǎn)？這正是本文需要探究問題, 包括組織機構(gòu)理解、檢測和處理安

2、全威脅的能力,以及他們檢測速度是否 足夠快？是否知道哪些情況將他們置于危險之中？他們是否能在攻擊者 完成目標(biāo)之前處理威脅。_、1分鐘去檢測時間是至關(guān)重要的。如果無法做到完全阻止入侵者訪問入侵，那么 就必須要能夠盡快檢測到入侵。然而,事實相反，經(jīng)常出現(xiàn)入侵者在網(wǎng) 絡(luò)上停留幾個月而不被發(fā)現(xiàn)。研究表明只有11%的受訪者估計他們的組織能夠在一分鐘內(nèi)檢測到 網(wǎng)絡(luò)入侵者。而對于那些在第一線處理這些入侵的安全專家來說,只有 9%的人相信他們組織能夠在1分鐘內(nèi)檢測到入侵。平均而言，受訪者估計他們的組織需要120小時來檢測網(wǎng)絡(luò)安全入 侵或事件。這相當(dāng)于5天晝夜不停地工作。想象一下,一個惡意的威脅 攻擊者在將近一

3、周的時間里都沒有被發(fā)現(xiàn)，可以造成多大的破壞。對于很多組織機構(gòu)而言，網(wǎng)絡(luò)安全團隊的主要關(guān)注點都不在檢測。 只有19%的人認(rèn)為他們的組織要求他們將檢測作為主要關(guān)注點，38%組 織機構(gòu)將關(guān)注點放在阻止訪問方面。雖然從開始主動監(jiān)視和避免攻擊很 重要,但面對攻擊者日益復(fù)雜戰(zhàn)術(shù)、技術(shù)和過程(ttps),使得避免被攻擊 已經(jīng)不可能。能否實現(xiàn)快速檢測有可能是“意愿“問題,但對于大部分組織機構(gòu) 而言都是技能問題。32%組織由于遺留老舊資產(chǎn)對升級和安全構(gòu)成挑戰(zhàn) 而放慢了速度。與此同時，網(wǎng)絡(luò)安全部門的資源匱乏(30%)、影子 it(28%)、技能短缺(27%)也被認(rèn)為是導(dǎo)致檢測速度慢的最普遍原因。阻礙快速檢測原因然

4、而，如果能實現(xiàn)一分鐘的檢測時間，這不僅可以減少入侵者接近、訪問目標(biāo)數(shù)據(jù)時間，而且還可以讓組織在調(diào)查事件并最終控 制事件方面有一個良好的開端。事實上，大多數(shù)人(86%)認(rèn)為,能夠在一分鐘內(nèi)探測到網(wǎng)絡(luò)上的入侵者，將徹底改變游戲規(guī)則。二, 10分鐘去調(diào)查在完成檢測之后，下一步是調(diào)查,以找出更多關(guān)于攻擊情況、攻擊 者。畢竟,如果能夠知道他們是誰,知道他們想要什么，就更容易阻止 他們。近四成的受訪者認(rèn)為,當(dāng)他們的組織受到攻擊時，了解攻擊者的 經(jīng)驗、專業(yè)技能水平、動機是至關(guān)重要的。三分之二的受訪者認(rèn)為，更 多地了解攻擊者有助于更好地保護攻擊者所針對的數(shù)據(jù)和文件。然而,研究表明，在檢測到威脅后，平均需要5個

5、小時才能對其進 行鑒別分類，6個小時后才能真正對其進行調(diào)查。即便在如此長時間下, 也只有53%的組織機構(gòu)發(fā)現(xiàn)了威脅攻擊者的身份。雖然，很多組織機構(gòu)在調(diào)查之前，已經(jīng)在檢測上浪費了大量的時 間。但是,必須對攻擊者的行為和動機進行調(diào)查,以盡可能多地發(fā)現(xiàn)關(guān) 于攻擊者的信息，從而避免未來的目標(biāo)和攻擊。盡管絕大多數(shù)(88%)的受訪者認(rèn)為"調(diào)查"將徹底改變他們的組織處 理網(wǎng)絡(luò)攻擊的方式，但只有9%的人報告說他們有這種能力。大多數(shù) (88%)的受訪者意識到,他們需要做更多的工作來理解網(wǎng)絡(luò)攻擊及其作惡 者?？傮w來說，調(diào)查了解攻擊細(xì)節(jié)是非常重要的，包括誰在攻擊，攻擊 期間發(fā)生了什么,攻擊的范圍

6、，以及攻擊者的動機是什么。這些信息可 以幫助形成一個必要的和有效的響應(yīng)步驟。三、60分鐘去控制在大多數(shù)情況下，檢測和調(diào)查都需要很長時間，組織需要多少時間 來控制威脅?到那個時候,是不是太晚了 ？最重要的是，他們能有效地 控制它嗎？三分之二(68%)的受訪者承認(rèn)，他們的組織需要很長時間才能在網(wǎng)絡(luò)上控制入侵者。平均而言，遏制行動需要受訪者組織31小時。如果檢測、分類和調(diào)查的平均時間考慮進去，就有另一個嚴(yán)肅的問 題要問：一個熟練而有經(jīng)驗的攻擊者在162小時不受阻礙地訪問你的網(wǎng) 絡(luò)時能造成多大的破壞？120小時/檢測5小時/分類31小時/調(diào)查 小時/控制總體而言，只有5%的受訪者相信他們的組織能夠在一

7、分鐘內(nèi)檢測到網(wǎng)絡(luò)安全事件，在10分鐘內(nèi)進行調(diào)查，并在60分鐘內(nèi) 將其控制住。80%的人都經(jīng)歷過這樣的事件，一旦黑客侵入網(wǎng)絡(luò)，安全人員就無法阻止入侵者完成目的。接近一半的受訪者(44%)認(rèn)為, 檢測時間過長是無法控制的根本原因。近四成的人認(rèn)為，缺乏資 源(39%)或技能(36%)來檢測、調(diào)查和減輕這些攻擊是罪魁禍?zhǔn)?。在檢測和調(diào)查攻擊之后，如果發(fā)現(xiàn)攻擊者，那么采取對應(yīng)的手段是不可缺少，包括加強組織網(wǎng)絡(luò)安全培訓(xùn)、增加預(yù)算、采用更加主動安全策略(威脅狩獵)等去控制和緩解攻擊情況。安全控制措施四、如何實現(xiàn)1-10-60法則對于網(wǎng)絡(luò)安全事故的黃金標(biāo)準(zhǔn)一一1分鐘檢測,10分鐘調(diào)查，60分 鐘控制似乎只有5%

8、的組織能夠做到。絕大多數(shù)組織都在努力及時發(fā)現(xiàn)其環(huán)境中的威脅、調(diào)查黑客并遏制 攻擊。幾乎整整一周過去了，很多組織甚至都沒有發(fā)現(xiàn)攻擊正在發(fā)生， 而另兩天過去了，攻擊才得到有效的響應(yīng)。檢測、分類、調(diào)查和遏制網(wǎng) 絡(luò)攻擊的平均時間為162小時。在這段時間內(nèi)所造成的損失對企業(yè)來說 可能是災(zāi)難性的。調(diào)查顯示，絕大多數(shù)組織認(rèn)識到，他們應(yīng)該更重視高速檢測和攻擊 者突破預(yù)防，以及了解威脅行動者本身的能力。很多組織已經(jīng)意識到快速檢測和響應(yīng)的重要性，但是組織如何才能 更接近1-10-60目標(biāo)?他們必須做出d那些改變才能做到這一點?如果他們 成功了，他們的組織能得到什么好處?1.采用基于att&ck框架與威脅情

9、報相結(jié)合的解決方案調(diào)查表明,高級威脅攻擊者的持久性和軟件供應(yīng)鏈中的問題繼續(xù)困 擾著組織。如果沒有全面部署有效的終端(含服務(wù)器端)安全解決方案 的公司,將面臨漫長的檢測和響應(yīng)時間,因為它們?nèi)狈Φ钟W(wǎng)絡(luò)攻擊所 需的全面可視化。例如通過agent收集詳細(xì)的服務(wù)器數(shù)據(jù)，結(jié)合當(dāng)下最新att&ck框 架，使用ttp和繞過技術(shù)來識別隱秘的對手。以便在對手實現(xiàn)其目標(biāo)并 造成數(shù)據(jù)泄露之前迅速檢測、調(diào)查和阻止入侵行為。此外,威脅情報方案可以幫助構(gòu)建安全技術(shù)棧，讓防御者了解攻擊 者的動機和行為。這有助于安全團隊更全面地了解事件，并做出更明智 的決定,以應(yīng)對未來的攻擊。2.下一代安全解決方案是關(guān)鍵隨著復(fù)雜攻擊的不斷發(fā)展，各種規(guī)模的組織都必須采用前沿技術(shù), 如行為分析、人工智能(ai)和機器學(xué)習(xí)(ml)o這些下一代安全解決方案不 再僅僅是通過檢測攻擊指標(biāo)(ioas),它側(cè)重于在攻擊過程中識別攻擊者的 活動，這可以幫助更快發(fā)現(xiàn)攻擊行為。調(diào)查顯示,全球偵測網(wǎng)絡(luò)事件的 平均時間為120小時。使用