在新冠新冠疫情開始之初,当世界各国的政府部门下发家居令时,大家很难想象运行状态会产生永久性更改。但是,伴随着机构快速选用和拓展系统软件,以适用在短短的三周内经营规模翻了一番的远程控制职工团队以后,公司企业文化也逐渐出现变化。伴随着职工逐渐融入远程控制工作模式,很多职工早已向她们的顾主证实,她们居家办公还可以维持与以前一样的效率高,乃至在某种情形下还能够提高效率。
因为这类迫不得已开展的试着,很多权威专家和管理者如今预测分析:这类灵巧的居家办公对策可能再次存有。Gartner 的研究表明,有 41% 的职工可能再次居家办公,而在新冠新冠疫情产生以前这一占比仅有 30%。除此之外,已经有 13% 的首席财务官 (CFO) 逐渐减少用以办公室空间的房地产业开支。伴随着远程控制工作模式的不断,安全性专业人士必须采取对应的办法来保持已在消退很多年的互联网外部中几乎找不到的可视性、监管和威胁检验。
虽然存有新的盲区,但在下列四个重要行业中,集中型安全信息和事件管理方法 (SIEM) 解决方法可以协助安全性精英团队再次得到并提高可视性与监管。
电子邮件
有目的性的网络攻击善于撰写具有诱惑力的钓鱼攻击电子邮件,并且它们的方法会愈来愈娴熟。电子邮件是必须给予监管的最重要的威胁媒体之一,由于在加入机构互联网的恶意程序中,有 94% 的恶意软件全是根据钓鱼攻击来交货的。若要尽快掌握这种威胁,更主要的是,若要精确追踪钓鱼攻击电子邮件开启后产生的状况,安全性精英团队必须得到对全部结构中所产生状况的集中化主视图。
因此,安全运营核心 (SOC) 精英团队可以将有关电子邮件事情和数据流量的组成信息内容发送至集中型 SIEM 解决方法开展剖析。根据摄取和剖析电子邮件事情或电子邮件安全事故(例如来源于 Proofpoint 或 Cisco IronPort 的事情),安全性研究工作人员可以更合理、更全方位地查询根据电子邮件的威胁。
为了更好地得到更深层次的判断力,剖析工作人员还能够运用聚类分析作用来获取别的属性,例如电子邮件发件人、配件名字、文档hach和 URL,随后将这种属性与威胁情报信息开展即时关系。如此一来,这类互联网级判断力可以对于很有可能意味着互联网中间人攻击的已经知道威胁和异常属性给予初期可视性并报警。
节点
在规模性转为远程控制工作模式以前,企业通常可以分成2种种类:
·一种是这些几乎彻底选用公司办公室工作模式,其客户应用台式电脑开展运行的企业,
·而另一种是这些适用远程控制工作模式,其笔记本上的客户可以根据虚拟专用网联接到网上的企业。
当职工几乎彻底转为远程控制工作模式时,她们都是会遭遇许多挑戰。以前选用公司办公室工作模式的机构必须快速搞清楚怎样为远程控制职工开启关键服务项目和运用,并且在某种情形下,还必须初次布署虚拟专用网。适用远程控制工作模式的企业会发觉虚拟专用网需求量猛增,互联网承受不住且速率大幅度降低,从源头上驱使客户迫不得已摆脱虚拟专用网来保持生产率。从安全性视角看来,二种状况都是在节点和客户主题活动层面引进了很多盲区。
若要再次得到可视性,安全性精英团队可以融合选用节点电脑操作系统 (OS)、虚拟专用网和节点检验与回应 (EDR) 事情来开展威胁检验。依靠 Windows、macOS 和 Linux 的当地日志纪录,安全性精英团队可以洞察节点等级产生的状况。根据应用 Sysmon 拓展 Windows 事情日志纪录,精英团队可以得到更深层次的威胁有关判断力,例如步骤主题活动和域名系统 (DNS) 要求。
针对应用 EDR 解决方法(例如 Carbon Black或CrowdStrike)的机构,可以将端点安全事情发送至集中型 SIEM 解决方法,并与别的企业资料密切相关,以完成端到端威胁可视性。一旦 EDR 与 SIEM 开展了密切集成化,便可以同时从 SIEM 页面运行回应实际操作。最终,当账号登录虚拟专用网或根据基于安全风险的身份认证浏览运用时,这种解决方法可以洞察相关节点部位、MAC 详细地址、客户代理商及其别的有價值的信息内容,从而给予这是不是真正消费者的判断力。
一旦根据单独部位搜集了这种珍贵的数据信息,安全性精英团队便可应用一系列人工神经网络和根据关联性的研究来检验已经知道和不明威胁。针对安全性运营团队来讲,找寻可给予预搭建安全性测试用例和剖析的 SIEM 经销商尤其有效,那样它们就无须花费时间和钱财重新开始科学研究和开发设计这种商品。
运用
应用主题活动的监管该是精英团队的首要关键,由于与监管节点不一样,机构即使在互联网以外也依然可以操纵运用主题活动。运用监管还有利于曝露互联网中已具有的网络攻击。运用监管可以在好几个等级上实行:
·根据真实身份即服务项目 (IDaaS) 解决方法(例如 Cloud Identity Connect或Okta登陆时。
·立即根据 SAP、SalesForce.com 或 Office 365等运用登陆、销户时。
·根据 Zscaler 等云浏览安全性代理商 (CASB) 解决方法来监管谁已经浏览或尝试浏览什么运用。
·立即在运用局部变量内,包含 OS 器皿编辑服务平台(如 Kubernetes)、器皿自身和这种自然环境中的 API 启用。
除开在每一个等级上监管和剖析事情以外,网络视频监控还能够供应相关运用数据信息怎样在互联网中流动性、什么工作人员和对象连接到了这种系统软件及其是不是发觉了出现异常总流量的详尽判断力。这一新增加的洞悉层可以提高目前的可视性和判断力,协助安全性精英团队更快发觉一些异常主题活动,例如被害账号和横着数据网络渗入试着等。除此之外,当网络攻击得到充分的决策权,从而顺利地应用检验避开技术性(例如禁止使用日志纪录)时,互联网监控很有可能会尤其有效。做为相对高度稳定的客观事实由来,数据网络可以显示设备和运用什么时候处在联网情况,即使他们沒有推送日志,还可以再次给予对于这种系统软件和运用管理状况的可视性。
云
因为很多物理学大数据中心临时关掉,因而机构急需解决将 IT 系统软件的当场物理学维护保养要求降至最少。很多机构已快速加快了云系统架构的选用,为其工作中载荷和使用给予适用,以保持业务连续性。因为很多该类转移早已开展了整体规划(通常仅仅依照接着的时刻表开展),因而大部分安全性精英团队都应期待这种项目投资可以持续保持。
为了更好地更早地知道这种自然环境中的隐患和威胁,安全性精英团队可以监管一系列事情,包含客户主题活动、运用主题活动及其自然资源和配备变更。幸运的是,关键的云计算平台经销商(例如 AWS、IBM、Azure和 Google Cloud))均给予了充足的日志、事情和网络流数据,这种可引进到集中型 SIEM 解决方法当中,从而完成内部结构和阴天自然环境中的可视性和检验。
根据摄取该类数据信息并对其应用安全性测试用例,剖析工作人员可以得到相关多种多样异常主题活动的判断力,例如:
·出现异常的客户和账号主题活动,例如出现异常的身份认证主题活动、来源于不一样地理环境的多次登陆或异常的根客户主题活动。
·出现异常的工作负荷主题活动,包含出现异常的 API 启用、异常的器皿主题活动或浏览資源的非标服务项目。
·高危配备变更,例如异常的 IAM 或安全性组策略变更、S3 储存区对策变更或新资格证书或变更的资格证书。
·异常的資源变更,例如非标的虚似私有云存储 (VPC) 或 EC2 案例,或是 EC2 案例的数目或尺寸的迅速提升。
虽然很多云服务提供商都可以给予自身的原生态安全性作用,但其商品却没法集中化查询跨自然环境的安全性数据信息,造成剖析工作人员迫不得已在错综复杂的数据孤岛中工作中。现如今,有 62% 的云计算平台选用者应用2个或好几个云计算平台;均值来讲,每一个机构应用 4.8 个独立自主的私有云和私有云存储自然环境。针对忙于解决持续上升的工作载荷的投资分析师而言,得到集中型的云可视性及其在威胁根据不一样自然环境时对它进行全自动剖析、检验和跟进的工作能力尤为重要。可以跨云和内部结构自然环境摄取和剖析事情和流数据的集中型 SIEM 解决方法,可协助投资分析师在威胁更新并导致明显危害以前迅速、更合理地检验威胁。
汇总
因为已经迅速迁移到远程控制工作模式,很多 IT 机构如今早已布署了适用远程控制职工的技术性。在过去的的数月中,职工早已证实她们居家办公还可以维持较高的生产率。伴随着大家迈进转型期,将要产生的一项显著转变便是更为灵便、对远程控制友善的运行对策。在这里状况下,安全性运营团队必须一种可持续性的长久发展战略,以在具备新盲区且几乎没有剩下外部的互联网上维持可视性和威胁检验。
根据翻倍提升集中型安全性剖析,尤其是钓鱼攻击、节点、运用和互联网安全测试用例,安全性研究工作人员可以得到新的判断力,填补遗失的可视性并最后协助提高结构的可靠趋势。在现如今安全性精英团队因为远程工作而精疲力尽的时期,机构可以考虑到布署具有下列优点的 SIEM 解决方法:可以在一切自然环境(包含 SaaS 或云计算平台)中运作、可以给予预搭建测试用例,让检验越来越更轻轻松松并提升整体使用价值,与此同时可以给予与 SOAR 解决方案(如 Resilient)的密切集成,从而加快端到端威胁检验、调研和回应周期时间。
点一下掌握大量IBM安全观