适当的网络安全防御有很多层次。每一层都很重要,每当一层受损或缺失时,风险就会增加。此外,永远不可能有足够的层。虽然您可以通过添加层来降低风险,但您永远无法消除所有风险。两个最重要的防御层是文件完整性监控和更改检测。两者都由组织的变更管理计划控制和监控。
在计算机网络的早期,我记得在没有任何文档、批准、退出计划或监督的情况下,即时进行重大更改。提前几年,这将是发现自己失业和失业的快速简便的方法。
变更、变更检测和变更管理是一件大事,需要协调、规划、测试、记录、制定退出计划并获得组织关键方面的批准。通常,获得批准可能需要数周甚至数月的时间。如今,在许多组织中,变更审批是由委员会完成的,这些委员会非常密切地跟踪变更,以防止出现问题、中断或业务中断。
威胁行为者攻击
当威胁行为者攻击您的网络时,他们必须进行更改以实现其目标。他们的目标几乎总是经济利益。威胁行为者必须找到进入网络的方法,例如未修补的漏洞或网络钓鱼,并且通常会升级凭据以进一步实现其目标。很多时候,威胁行为者必须插入有效负载、可执行文件、创建帐户、编辑访问控制列表、使用未经批准的软件、禁用软件或代理以及更改日志和安全配置,然后才能造成任何真正的损害。所有这些操作都需要更改。
检测到更改时,威胁行为者尚未完成其目标。可以触发更改检测和文件完整性监控解决方案,在威胁行为者建立命令和控制、转向 Active Directory、泄露机密数据或启动加密流程之前向信息安全发出警报。这些下一代系统可以实时运行和警报。
最大的威胁
文件、软件、操作系统、数据库、应用程序或配置发生变化的原因只有几个:
-
更新或补丁
-
配置更改
-
技术问题
-
政策变更
-
最终用户或管理员更改
-
错误或故障
-
硬件或软件故障
-
未经授权的访问
-
恶意软件
-
威胁行为者
在网络安全领域工作了 30 多年,我最担心的两项是最后一项: 恶意软件和威胁行为者 .
无论出于何种原因,所有这些更改在日志和遥测中看起来都差不多。这就是问题所在。当发生变化时,变更管理、信息技术和信息安全了解导致变更的原因至关重要。
为此,您必须具有强大的文件完整性监控和更改监控系统。当这些系统发现发生了更改时,需要有人或某个进程来协调该更改。是否有解释更改的更改记录?这是计划好的吗?如果答案是否定的,则应打开第二个票证,并立即通过打开事件票证来启动调查。如果日志的变化与皇冠上的明珠有关,则应将调查升级为紧急,并应通知网络安全事件响应团队。
可能没有变更单或明显的解释,但没有恶意软件或威胁行为者活动负责。必须尽快排除这种情况。如今,威胁行为者行动迅速。几年前的停留时间是几个月;今天,停留时间可能只有几个小时。
服务器、应用程序、数据库等越重要,文件完整性监控和更改检测系统就越重要。业务关键性应该是需要进行何种级别检查的决定性方面。事实上,如果业务关键性很小,则可能不需要文件完整性监控。也许变更检查的级别可能很低。
文件完整性监控 (FIM) 监视和分析端点、文件系统、数据库、文件共享、网络设备、各种操作系统和应用程序的完整性,以查找损坏或篡改的证据,这可能表明威胁行为者的活动。FIM 工具将当前基线与过去的基线进行比较,并在发现任何差异时发出警报。
如今,威胁行为者使用其技术来更改端点可能非常复杂。很多时候,文件系统、注册表、配置文件、系统文件、访问控制列表等会在攻击期间和/或威胁行为者在攻击期间横向移动时发生更改。威胁行为者可能会更改访问控制组、禁用日志记录的关键方面,或者在某些情况下禁用或卸载安全监控、代理或应用程序。这些类型的操作加快了对快速威胁检测和分析以及补救的需求。
当网络安全专业人员能够及早检测到威胁时,挫败威胁行为者的可能性就会增加,对数据和端点的损害就会降至最低。早期检测有很多层次。更改检测和文件完整性监控只是其中的两个层。添加这两层安全性可降低风险,并允许采取更好的审计和合规性措施。
结论
与往常一样,员工教育是任何计划不可或缺的一部分。员工和管理层必须全力支持并遵守这两层安全保障。一旦这些层就位,就可以实施具有明确安全控制的主动方法,以抵御恶意软件和威胁行为者。这将确保您的组织将面临威胁行为者和网络攻击的风险降至最低。