安全黃金法則：1分鐘檢測(cè)10分鐘調(diào)查60分鐘控制

1、安全黃金法則：1分鐘檢測(cè)，10分鐘調(diào)查,60分鐘控制導(dǎo)語(yǔ)對(duì)于現(xiàn)在組織機(jī)構(gòu)而言，網(wǎng)絡(luò)安全攻擊無(wú)可避免，有效防護(hù)的關(guān)鍵 是速度和準(zhǔn)確度。當(dāng)面臨攻擊時(shí)候,企業(yè)能做就是快速反應(yīng)，包括： .盡可能快檢測(cè)事件徹底調(diào)查該事件，發(fā)現(xiàn)你需要解決一切問(wèn)題在它爆發(fā)和造成危害之前控制住它很多企業(yè)組織機(jī)構(gòu)也知道速度的重要性，但是不確定如何將其轉(zhuǎn)化為 可衡量的標(biāo)準(zhǔn)。在這里推薦1-10-60規(guī)則，即分鐘進(jìn)行檢測(cè),10分鐘 進(jìn)行調(diào)查，60分鐘進(jìn)行控制和補(bǔ)救。努力遵守這一規(guī)則的組織能夠更好地 防范威脅，并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)成功地補(bǔ)救。那么組織機(jī)構(gòu)距離安全標(biāo)準(zhǔn)到底有多遠(yuǎn)？這正是本文需要探究問(wèn)題, 包括組織機(jī)構(gòu)理解、檢測(cè)和處理安

2、全威脅的能力,以及他們檢測(cè)速度是否 足夠快？是否知道哪些情況將他們置于危險(xiǎn)之中？他們是否能在攻擊者 完成目標(biāo)之前處理威脅。_、1分鐘去檢測(cè)時(shí)間是至關(guān)重要的。如果無(wú)法做到完全阻止入侵者訪問(wèn)入侵，那么 就必須要能夠盡快檢測(cè)到入侵。然而,事實(shí)相反，經(jīng)常出現(xiàn)入侵者在網(wǎng) 絡(luò)上停留幾個(gè)月而不被發(fā)現(xiàn)。研究表明只有11%的受訪者估計(jì)他們的組織能夠在一分鐘內(nèi)檢測(cè)到 網(wǎng)絡(luò)入侵者。而對(duì)于那些在第一線處理這些入侵的安全專家來(lái)說(shuō),只有 9%的人相信他們組織能夠在1分鐘內(nèi)檢測(cè)到入侵。平均而言，受訪者估計(jì)他們的組織需要120小時(shí)來(lái)檢測(cè)網(wǎng)絡(luò)安全入 侵或事件。這相當(dāng)于5天晝夜不停地工作。想象一下,一個(gè)惡意的威脅 攻擊者在將近一

3、周的時(shí)間里都沒(méi)有被發(fā)現(xiàn)，可以造成多大的破壞。對(duì)于很多組織機(jī)構(gòu)而言，網(wǎng)絡(luò)安全團(tuán)隊(duì)的主要關(guān)注點(diǎn)都不在檢測(cè)。 只有19%的人認(rèn)為他們的組織要求他們將檢測(cè)作為主要關(guān)注點(diǎn)，38%組 織機(jī)構(gòu)將關(guān)注點(diǎn)放在阻止訪問(wèn)方面。雖然從開(kāi)始主動(dòng)監(jiān)視和避免攻擊很 重要,但面對(duì)攻擊者日益復(fù)雜戰(zhàn)術(shù)、技術(shù)和過(guò)程(ttps),使得避免被攻擊 已經(jīng)不可能。能否實(shí)現(xiàn)快速檢測(cè)有可能是“意愿“問(wèn)題,但對(duì)于大部分組織機(jī)構(gòu) 而言都是技能問(wèn)題。32%組織由于遺留老舊資產(chǎn)對(duì)升級(jí)和安全構(gòu)成挑戰(zhàn) 而放慢了速度。與此同時(shí)，網(wǎng)絡(luò)安全部門的資源匱乏(30%)、影子 it(28%)、技能短缺(27%)也被認(rèn)為是導(dǎo)致檢測(cè)速度慢的最普遍原因。阻礙快速檢測(cè)原因然

4、而，如果能實(shí)現(xiàn)一分鐘的檢測(cè)時(shí)間，這不僅可以減少入侵者接近、訪問(wèn)目標(biāo)數(shù)據(jù)時(shí)間，而且還可以讓組織在調(diào)查事件并最終控 制事件方面有一個(gè)良好的開(kāi)端。事實(shí)上，大多數(shù)人(86%)認(rèn)為,能夠在一分鐘內(nèi)探測(cè)到網(wǎng)絡(luò)上的入侵者，將徹底改變游戲規(guī)則。二, 10分鐘去調(diào)查在完成檢測(cè)之后，下一步是調(diào)查,以找出更多關(guān)于攻擊情況、攻擊 者。畢竟,如果能夠知道他們是誰(shuí),知道他們想要什么，就更容易阻止 他們。近四成的受訪者認(rèn)為,當(dāng)他們的組織受到攻擊時(shí)，了解攻擊者的 經(jīng)驗(yàn)、專業(yè)技能水平、動(dòng)機(jī)是至關(guān)重要的。三分之二的受訪者認(rèn)為，更 多地了解攻擊者有助于更好地保護(hù)攻擊者所針對(duì)的數(shù)據(jù)和文件。然而,研究表明，在檢測(cè)到威脅后，平均需要5個(gè)

5、小時(shí)才能對(duì)其進(jìn) 行鑒別分類，6個(gè)小時(shí)后才能真正對(duì)其進(jìn)行調(diào)查。即便在如此長(zhǎng)時(shí)間下, 也只有53%的組織機(jī)構(gòu)發(fā)現(xiàn)了威脅攻擊者的身份。雖然，很多組織機(jī)構(gòu)在調(diào)查之前，已經(jīng)在檢測(cè)上浪費(fèi)了大量的時(shí) 間。但是,必須對(duì)攻擊者的行為和動(dòng)機(jī)進(jìn)行調(diào)查,以盡可能多地發(fā)現(xiàn)關(guān) 于攻擊者的信息，從而避免未來(lái)的目標(biāo)和攻擊。盡管絕大多數(shù)(88%)的受訪者認(rèn)為"調(diào)查"將徹底改變他們的組織處 理網(wǎng)絡(luò)攻擊的方式，但只有9%的人報(bào)告說(shuō)他們有這種能力。大多數(shù) (88%)的受訪者意識(shí)到,他們需要做更多的工作來(lái)理解網(wǎng)絡(luò)攻擊及其作惡 者。總體來(lái)說(shuō)，調(diào)查了解攻擊細(xì)節(jié)是非常重要的，包括誰(shuí)在攻擊，攻擊 期間發(fā)生了什么,攻擊的范圍

6、，以及攻擊者的動(dòng)機(jī)是什么。這些信息可 以幫助形成一個(gè)必要的和有效的響應(yīng)步驟。三、60分鐘去控制在大多數(shù)情況下，檢測(cè)和調(diào)查都需要很長(zhǎng)時(shí)間，組織需要多少時(shí)間 來(lái)控制威脅?到那個(gè)時(shí)候,是不是太晚了 ？最重要的是，他們能有效地 控制它嗎？三分之二(68%)的受訪者承認(rèn)，他們的組織需要很長(zhǎng)時(shí)間才能在網(wǎng)絡(luò)上控制入侵者。平均而言，遏制行動(dòng)需要受訪者組織31小時(shí)。如果檢測(cè)、分類和調(diào)查的平均時(shí)間考慮進(jìn)去，就有另一個(gè)嚴(yán)肅的問(wèn) 題要問(wèn)：一個(gè)熟練而有經(jīng)驗(yàn)的攻擊者在162小時(shí)不受阻礙地訪問(wèn)你的網(wǎng) 絡(luò)時(shí)能造成多大的破壞？120小時(shí)/檢測(cè)5小時(shí)/分類31小時(shí)/調(diào)查 小時(shí)/控制總體而言，只有5%的受訪者相信他們的組織能夠在一

7、分鐘內(nèi)檢測(cè)到網(wǎng)絡(luò)安全事件，在10分鐘內(nèi)進(jìn)行調(diào)查，并在60分鐘內(nèi) 將其控制住。80%的人都經(jīng)歷過(guò)這樣的事件，一旦黑客侵入網(wǎng)絡(luò)，安全人員就無(wú)法阻止入侵者完成目的。接近一半的受訪者(44%)認(rèn)為, 檢測(cè)時(shí)間過(guò)長(zhǎng)是無(wú)法控制的根本原因。近四成的人認(rèn)為，缺乏資 源(39%)或技能(36%)來(lái)檢測(cè)、調(diào)查和減輕這些攻擊是罪魁禍?zhǔn)?。在檢測(cè)和調(diào)查攻擊之后，如果發(fā)現(xiàn)攻擊者，那么采取對(duì)應(yīng)的手段是不可缺少，包括加強(qiáng)組織網(wǎng)絡(luò)安全培訓(xùn)、增加預(yù)算、采用更加主動(dòng)安全策略(威脅狩獵)等去控制和緩解攻擊情況。安全控制措施四、如何實(shí)現(xiàn)1-10-60法則對(duì)于網(wǎng)絡(luò)安全事故的黃金標(biāo)準(zhǔn)一一1分鐘檢測(cè),10分鐘調(diào)查，60分 鐘控制似乎只有5%

8、的組織能夠做到。絕大多數(shù)組織都在努力及時(shí)發(fā)現(xiàn)其環(huán)境中的威脅、調(diào)查黑客并遏制 攻擊。幾乎整整一周過(guò)去了，很多組織甚至都沒(méi)有發(fā)現(xiàn)攻擊正在發(fā)生， 而另兩天過(guò)去了，攻擊才得到有效的響應(yīng)。檢測(cè)、分類、調(diào)查和遏制網(wǎng) 絡(luò)攻擊的平均時(shí)間為162小時(shí)。在這段時(shí)間內(nèi)所造成的損失對(duì)企業(yè)來(lái)說(shuō) 可能是災(zāi)難性的。調(diào)查顯示，絕大多數(shù)組織認(rèn)識(shí)到，他們應(yīng)該更重視高速檢測(cè)和攻擊 者突破預(yù)防，以及了解威脅行動(dòng)者本身的能力。很多組織已經(jīng)意識(shí)到快速檢測(cè)和響應(yīng)的重要性，但是組織如何才能 更接近1-10-60目標(biāo)?他們必須做出d那些改變才能做到這一點(diǎn)?如果他們 成功了，他們的組織能得到什么好處?1.采用基于att&ck框架與威脅情

9、報(bào)相結(jié)合的解決方案調(diào)查表明,高級(jí)威脅攻擊者的持久性和軟件供應(yīng)鏈中的問(wèn)題繼續(xù)困 擾著組織。如果沒(méi)有全面部署有效的終端(含服務(wù)器端)安全解決方案 的公司,將面臨漫長(zhǎng)的檢測(cè)和響應(yīng)時(shí)間,因?yàn)樗鼈內(nèi)狈Φ钟W(wǎng)絡(luò)攻擊所 需的全面可視化。例如通過(guò)agent收集詳細(xì)的服務(wù)器數(shù)據(jù)，結(jié)合當(dāng)下最新att&ck框 架，使用ttp和繞過(guò)技術(shù)來(lái)識(shí)別隱秘的對(duì)手。以便在對(duì)手實(shí)現(xiàn)其目標(biāo)并 造成數(shù)據(jù)泄露之前迅速檢測(cè)、調(diào)查和阻止入侵行為。此外,威脅情報(bào)方案可以幫助構(gòu)建安全技術(shù)棧，讓防御者了解攻擊 者的動(dòng)機(jī)和行為。這有助于安全團(tuán)隊(duì)更全面地了解事件，并做出更明智 的決定,以應(yīng)對(duì)未來(lái)的攻擊。2.下一代安全解決方案是關(guān)鍵隨著復(fù)雜攻擊的不斷發(fā)展，各種規(guī)模的組織都必須采用前沿技術(shù), 如行為分析、人工智能(ai)和機(jī)器學(xué)習(xí)(ml)o這些下一代安全解決方案不 再僅僅是通過(guò)檢測(cè)攻擊指標(biāo)(ioas),它側(cè)重于在攻擊過(guò)程中識(shí)別攻擊者的 活動(dòng)，這可以幫助更快發(fā)現(xiàn)攻擊行為。調(diào)查顯示,全球偵測(cè)網(wǎng)絡(luò)事件的 平均時(shí)間為120小時(shí)。使用