为什么企业需要实时威胁检测?
作者: 日期:2017年02月08日 阅:3,108

虽然公司企业总是希望尽可能快地找出威胁,但理想也总是那么遥不可及。平均来看,驻留时间会持续数月,网络罪犯有充足的时间逡巡网络,抽取有价值信息,影响公司、客户以及雇员。

real-time-threat-detection-900

如果公司没有实时检测能力,没有为这些事件做好准备,那他们就总会处于特别脆弱的状态。对工具和策略进行重新评估是个不错的主意。以下是一些最常见的风险事件和能够帮助你成功应对的建议:

1. 物联网接入

02_iot-100704001-orig-600

任何联网设备都可成为黑客的切入点,随着越来越多的公司开始使用物联网设备(IoT),他们需要准备好识别新设备上的潜在攻击。

正在实现IoT的公司应考虑一下网络重设计,用强访问控制将IoT设备与其他内部网络进行隔离。可以部署异常检测技术,来给IoT网段和内部及外部网络的正常行为定个基线。该持续的监视将有助于发现不正常网络行为。

2. 合作伙伴

03_vendors-100703997-orig-600

塔吉特百货的大规模数据泄露,就是黑客通过空调公司进入网络的结果。每当公司向新厂商或合作伙伴授予网络访问权的时候,他们都应当密切注意不正常活动。有那么几个步骤可以有效做到这一点。

首先,优先处理厂商/合作伙伴访问公司资源的管理和安全,勤于在合同终止时清除访问授权。另外,将厂商VPN访问限制在某已知IP段内,并在内部公布该IP列表。最后,部署分析工具以近实时地检测来自这些IP地址的异常行为。此外,利用第三方安全风险评级服务(SRS)(《安全领域新概念:安全评级服务的兴起》)不失为一个方便快捷的手段。

3. 合并与收购

04_mergers-100703996-orig-600

将两个之前各自独立的公司网络合并起来是个危险的活计。黑客畅游网络的驻留时间可长达数月。如果有黑客已经侵占了公司A的网络,通过融合,你也就给了他公司B(及并购后的公司)的钥匙。

事前准备是规避此类场景的关键。在连接基础设施之前,对每家公司的基础设施都做个网络和安全评估。然后,部署分析工具来对网络行为定个基准,尽快对合并的网络进行数据记录以便能监视异常行为。

4. 新增物理位置

05_location-100703998-orig-600

无论是新的公司大楼,还是零售门店,或者快餐连锁,跟着这些新位置而来的基础设施,都有可能引入新的漏洞。除了添加标准控制,公司面对这种状况还应该考虑部署分析工具,执行“种群分析”,以确定新位置在其网络和应用日志数据中展现的行为,是否异于其他地点的行为。

5. 修复或更新软件

06_update-100704000-orig-600

复杂环境中,一个地方的改变,可能会无意地影响到其他某个地方。很多案例都显示,这可能产生新的漏洞,为黑客开启方便之门。

成功修复或更新,归根结底是使用良好的IT规程。比如说,确保跟IT安全团队沟通计划好的升级。然后,定义升级后勤勉期,在此期间对安全日志进行额外的详细审查。

6. 引入新硬件

07_hardware-100703999-orig-600

这可能包含任何硬件,从服务器到新的移动设备。每当向网络中引入新硬件时,你都会遇到很多之前不知道的东西。而未知之物,就有可能伤害到你。

确保新服务器上运行的所有软件都打了补丁,是个不错的实践。检查与该硬件或软件相关的每个已知漏洞。与软件升级最佳实践类似,要跟IT安全团队沟通计划硬件升级事宜。然后,创建升级后勤勉期,对安全日志进行额外的详细审查——推荐使用自动化分析工具。

7. 员工入职

08_onboarding-100704002-orig-600

很多公司都会在同一时段迎入新人,比如说,在他们招聘并培训了新的大学毕业生的时候。这种情况下,他们就是在往公司网络中引入带有独特新行为的大量新用户,可能还有新设备。这些新用户增加了被黑或数据被泄的机会(无论有意还是无意地)。

面对该成长期的第一步,是强调公司策略和良好IT安全实践。确保定期强化这些策略和实践。然后,考虑部署用户行为分析(UBA)来为新用户建模,将他们的风险与公司其他员工组做对比。

8. 员工离职

09_outboarding-100704003-orig-600

裁员、倒闭或辞职之类的事件——尤其是在非自愿的时候,可能会引发乱流,增加出自熟知公司数据、网络和应用的员工之手的恶意行为发生机会。

这些敏感时段中,企业应强调身份及访问管理(IAM)。应勤于清除对所有资源的访问权,无论是公司内的,还是云端的。最后,定义更新后的勤勉期,使用自动化异常检测来执行对安全日志的额外审查。·

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章