传统网络安全实践总是落后坏人一步,企业首席安全官们总是忙于追赶。2016年,美国各机构总共花了约750亿美元在安全产品和服务上,占了IT总支出的11/strong>。尽管如此,还是有75/strong>的大企业遭遇了安全事件。
黑客从侵入到被发现的平均驻留时间是99天。面对如此快速发展行业里的挑战,有效企业安全需要认识到:老技术不再有用,成功来自于投资切实有效的工具和技术。以下是Endgame首席技术官杰米·巴特勒,分享的“CSO如何建立有效企业安全框架”。
1. 假设已经被入侵
有效企业安全开始于假设自己已经被侵入了。为对抗入侵者,你得主动狩猎已经存在于内部网络中的坏人,要有能力在不造成破坏和损失,或者没有明显宕机时间的情况下修复问题。
终端检测和响应(EDR)平台在很多高级攻击识别上表现良好,但在预防破坏和损失上不够及时。只要有1攻击成功了,安全项目就等同于失败,所以,你需要入手能够让现有团队在最短时间内识别并有效响应最高端威胁的技术。
3. 不要依赖IOC
很多遗留EDR系统和一些主流EDR解决方案都擅长预防已知威胁,但覆盖不了未知威胁或从未见过的攻击方式。最高端的,国家支持的攻击者,使用的是可以绕过传统入侵指标(IOC)搜索的方法。虽然特征码依然是检测和预防已知威胁的重要组件,在防御现代高级威胁上却是不够用的。
4. 自动化才能更轻松
安全操作员和分析师每天都有简单的任务和行动,同时还要执行他们复杂重要的工作。但是,基础性任务很不幸地吞噬了大量时间。利用人工智能驱动的辅助工具,以及有价值分析驱动的机器人,可以将你的团队从数据收集、常规分析等耗时工作中解放出来,专注于更复杂的任务。
5. 整合技术
有千万美元级安全预算的公司企业,平均会用到13家安全厂商。对大多数公司而言这个数字真的太大了,因此,在IT部门部署时,整合技术,最小化安全运营中心(SOC)所用代理数量,是很重要的。
6. 了解黑客攻击模型和框架
Mitre ATT&CK Matrix,是描述黑客在企业网络中所采取行动的模型和框架。CSO要熟悉这一先进技术分类体系,确保自己购买的解决方案能随攻击技术的发展变化历久弥新。
7. 淘汰与更新
不断改变,是大多数公司成功的必要条件,安全也不例外。CSO需要认识到之前做法的错误,才能迎来未来的成功。这些过去的错误包括:假定自己能够预防所有入侵,依赖IOC而不是利用AI和自动化。他们还需要认真思考安全架构,了解敌对威胁。安全便取决于此。