精品文檔word可編輯

最

新

網(wǎng)

絡(luò)

安

全

仔與

綜合威脅管理簡易操作手冊

anEcl010/2017-12-ll09:23:00/瀏覽數(shù)3260技術(shù)文章技術(shù)文堂15(0)踩⑻

IntegratedThreatManagementForDummies(琮合威脅管理)

byPeterGregor/

1當(dāng)前的威脅場景

威脅發(fā)展

年齡大一點(diǎn)的安全專家會(huì)記得那個(gè)防火墻和反病者軟件就可以阻擋大多數(shù)攻擊的時(shí)代，現(xiàn)在出現(xiàn)了越來越多的威脅和攻擊.每年有成年上萬的新的惡意軟件變種.現(xiàn)在可能每

變異的惡意軟件

一般來說,以基于爰名的反病由軟件作為主要防御方式的時(shí)代已經(jīng)過去了。而依賴役名來是識(shí)別和阻止病由、蛇蟲、木馬的反病由軟件對(duì)于今天的經(jīng)過變異的惡意軟件來說是

內(nèi)部威脅

當(dāng)安全專家討論內(nèi)部威脅時(shí),他們討論的實(shí)際上是整個(gè)潛在的有害活動(dòng).許多人會(huì)以為這只包括一些惡意的職員,但是內(nèi)部威脅遠(yuǎn)不止這些，如今內(nèi)部威脅的籟念包括：

無意的錯(cuò)誤，職員無意間點(diǎn)擊了他們不應(yīng)該點(diǎn)擊的東西(垃圾郵件)，發(fā)送郵件給不應(yīng)該收到的接受者。

判斷失誤。職員重用函碼、存儲(chǔ)能私信息到個(gè)人云,在瀏覽器上安奘工具插件等。

狹乏培訓(xùn)。職員收到了存信敏感信息的新辦法.但是他們可能不理解如何去具體的應(yīng)用。書時(shí)這會(huì)讓隱私數(shù)據(jù)和系統(tǒng)處于危險(xiǎn)中。

惡意職員。一些職員可能覺得資金要被解雇了.他們就會(huì)下教所有的客戶數(shù)據(jù)和獲獎(jiǎng)或目源代碼,開發(fā)人員還可能會(huì)植入時(shí)間炸彈來在將來的某個(gè)時(shí)間破壞重要數(shù)據(jù)。

惡意戚脅很戲阻止,主要是因?yàn)樾畔⑾到y(tǒng)只做告訴做的事情，而不會(huì)考慮公司的政策和用于的意圖.所有好的計(jì)劃都可以被誤用或者潴用來達(dá)到某些惡意意圖,

逐漸消失的網(wǎng)絡(luò)邊界

管有一段時(shí)間,用戶可以通過防火堵來保護(hù)內(nèi)部網(wǎng)絡(luò).隨石互聯(lián)網(wǎng)的發(fā)展，用戶和商業(yè)伙伴可以訪問內(nèi)部和外部系統(tǒng),職員的筆記本電腦從世界各地連接到公司網(wǎng)絡(luò).企業(yè)也

云遷徙

許多企業(yè)已經(jīng)不在購美硬件來在自己的數(shù)據(jù)中心安裝商業(yè)應(yīng)用了。企業(yè)正在逐漸遷徙到云端,他們從IBMSoftlayerAmazonWebServices.Microsoft

Azure這樣的laas租了基于云的應(yīng)用和收件系統(tǒng).遷徙到云上給企業(yè)帶來7■巨大的經(jīng)濟(jì)效應(yīng)但是很少有企業(yè)考慮這種遷徙帶來的威脅和風(fēng)數(shù).企業(yè)組織假定云提曬為他們

在工作中使用自己的設(shè)備

APP拒這樣的公司滿足了我們對(duì)更好的終端設(shè)備的需求.比如MacBook

Ak箔記本、iPads和iPhones等。人們會(huì)帶著這樣的設(shè)備去公司并迂接到企業(yè)內(nèi)部網(wǎng)絡(luò)，大多數(shù)的n"是不能阻止他們的.尤其是當(dāng)高管說我們要杷我的iPad連接到內(nèi)部網(wǎng)絡(luò)時(shí)

新的技術(shù)發(fā)展讓非IT的職員在不告知IT部門的情況下.做任何想做的事情;這可能在一些方面對(duì)企業(yè)是有好處的.而帶來的潛在風(fēng)險(xiǎn)也是很多，許多的曲務(wù)人士在工作中選擇

APT

AdvancedPersistentThreats

(APTS)已經(jīng)是一種高級(jí)持續(xù)性攻擊,特定的組織和個(gè)人可以用來攻擊其他單元達(dá)到竊取用戶數(shù)據(jù)、破壞數(shù)據(jù)或者信息系統(tǒng)的目的.APT包含許多的攻擊工具和技術(shù),攻擊者用

數(shù)據(jù)泄露

U.S.醫(yī)療保險(xiǎn)提供商

2015年初.一人大的US醫(yī)療保險(xiǎn)商報(bào)告說8千萬市民的個(gè)人信息可能被竊了。竊取這些數(shù)據(jù)的方法并沒有公開.但是應(yīng)該是通過杓魚攻擊或水坑攻擊發(fā)起的一個(gè)簡單的惡意軟

U.S.零售商

該公司的數(shù)據(jù)池露導(dǎo)致超過1億客戶的信用卡數(shù)據(jù)被竊，這些客戶都在2013年底在商店用信用卡進(jìn)行過支付，竊取明文信用卡號(hào)的惡意軟件被植入到收款終端中.仝業(yè)有檢測

U.S.醫(yī)療提供商

Kentucky的一家醫(yī)院發(fā)布過一份聲明說,醫(yī)院的服務(wù)器感染了勒索軟件。在系統(tǒng)恢復(fù)上線前，醫(yī)療電子記錄無法讓問。

計(jì)算機(jī)和網(wǎng)絡(luò)安全提供商

雖然是一家安全提供商,但這家公司在2011年被黑。目標(biāo)是這家公司的雙因素認(rèn)證產(chǎn)品,所以入侵者能夠嘗試用產(chǎn)品自帶的遠(yuǎn)程訪問認(rèn)證來入侵公司的網(wǎng)絡(luò),攻擊是從發(fā)送給

2防御復(fù)雜攻擊

攻擊預(yù)防

攻擊預(yù)防是手動(dòng)的.但是預(yù)防并不是可選的,愿意在信息系統(tǒng)上進(jìn)行投資來支持商業(yè)過程的企業(yè).必須同時(shí)在培訓(xùn)員工和獲取工具上進(jìn)行投資，來幫助保護(hù)他們的系統(tǒng).

攻擊預(yù)防的原則

囚為存在不同的攻擊方法,所以會(huì)書不同的方法來預(yù)防這些攻擊的發(fā)生，在了解攻擊和預(yù)防技術(shù)技術(shù)之前.我們首先要理解攻擊預(yù)防的原則。

如果深入思考這些原則,你可能會(huì)得到和大多數(shù)安全專家同樣的結(jié)論網(wǎng)絡(luò)斗爭是不公平的.表中的原則幾乎不可能實(shí)現(xiàn),很明顯.在這場斗爭中.攻擊者是由優(yōu)挎的.當(dāng)防

攻擊防御實(shí)踐

當(dāng)你覺得自己處于劣后的時(shí)候,你可以做一些努力：

漏洞管理：必要的商業(yè)實(shí)踐含有許多識(shí)冽漏洞、使用漏洞數(shù)據(jù)反饋、對(duì)系統(tǒng)打補(bǔ)丁的活動(dòng)。這對(duì)戒少漏洞利用有一定的幫助.也能讓攻擊者訪問目標(biāo)系統(tǒng)變難。

補(bǔ)丁管理.這包括熟取可用補(bǔ)丁信息和通過簡歷的變化管理U在來優(yōu)化和應(yīng)用潮洞補(bǔ)丁。

系統(tǒng)硬化這是緊縮系統(tǒng)和組件配苴的實(shí)踐，移除非必要的模塊和工具,移除韭必要的用戶賬戶。這些技術(shù)記錄在系統(tǒng)和組件硬化標(biāo)準(zhǔn)中.應(yīng)該包含在應(yīng)用到企業(yè)的新筆

權(quán)限減小版少管理和普通用戶的權(quán)限到工作圾。這可以限制攻擊者接管瞇戶后的能力范圍，

供給面減少：通過從環(huán)境中移除對(duì)功能沒有重要影響的組件和系統(tǒng)來預(yù)防攻擊.這可以成少潛在攻擊目標(biāo)的數(shù)1B,也減少了攻擊者入侵企業(yè)的入口點(diǎn)。

安全意識(shí)培訓(xùn)這是對(duì)提施用戶進(jìn)行抵抗社會(huì)工程學(xué)攻擊的實(shí)踐,比如強(qiáng)密碼、遵循安全策略和步驟、限制對(duì)敏感和感要信息的使用和傳播這樣的安全實(shí)踐.

網(wǎng)絡(luò)入侵防徹

網(wǎng)絡(luò)入侵防御是使用工具和技術(shù)來幫助檢測和攔截基于網(wǎng)絡(luò)的攻擊的安全實(shí)踐。因?yàn)榫W(wǎng)絡(luò)是攻擊者進(jìn)行偵查、發(fā)起攻擊、竊取敏感數(shù)據(jù)的方式，所以使用一些檢測和攔截基于

預(yù)防網(wǎng)絡(luò)入侵的基本攻擊是IPS也叫做NIPS,IPS和NIPS書所不同，IPS是基于主機(jī)的入侵防御系統(tǒng)（HIPS）,而NIPS是基于網(wǎng)絡(luò)的入侵防御系統(tǒng)，文中的IPS既可以指代NIP

?3連接內(nèi)外網(wǎng).檢查進(jìn)入和外出的網(wǎng)絡(luò)流?.并與預(yù)設(shè)的規(guī)則進(jìn)行比較.來決定接受、還是攔截?cái)?shù)據(jù)包。圖2-1是企業(yè)中IPS的描述，當(dāng)包被攔截后.I”就創(chuàng)建一條日志記錄

終端惡意軟件保護(hù)

黑客在攻擊中會(huì)使用一些技術(shù)來避免被檢測到，使用這些避免被檢測到的技術(shù).黑客不僅可以入侵企業(yè)還可以在幾個(gè)月內(nèi)不被檢測到，在網(wǎng)絡(luò)中建立落腳點(diǎn)是很瑣碎的.經(jīng)常

為了應(yīng)對(duì)該威脅許多廠商已經(jīng)從基于種態(tài)簽名的檢測機(jī)制轉(zhuǎn)移到下一代基于行為的的檢測機(jī)制.更多的關(guān)注攻擊者活動(dòng)的模式,而不是和攻擊者相關(guān)的某個(gè)事件、文件和IP

3檢測基礎(chǔ)設(shè)施中的威脅

理解威脅檢測的原則

如果有人嘗試去入侵你的環(huán)境,需要注意一個(gè)或更多的系統(tǒng)或網(wǎng)絡(luò)組件。他們注意的東西可能剛開始不是威脅，但這可能是入侵的信號(hào)。下面是的威脅檢測的更要和時(shí)效性原

盡可能收集所有的安全數(shù)據(jù)。應(yīng)該記錄發(fā)土在力儲(chǔ)、處理、傳敏感數(shù)據(jù)的每個(gè)系統(tǒng)和設(shè)備上的軍安信息：離較攻擊可以關(guān)閉日志、坑輯日志、世王刪除日志,因此收集

存儲(chǔ)安全事件數(shù)據(jù)到統(tǒng)一的數(shù)據(jù)庫。有所有設(shè)笛的登錄日志當(dāng)然很好,可是當(dāng)這些數(shù)據(jù)敞布在整個(gè)企業(yè)的不同服務(wù)器上,當(dāng)你想要查看時(shí)，就會(huì)比較麻煩.甚至日志數(shù)據(jù)

保護(hù)日志數(shù)據(jù)..收集日志數(shù)次的目的是囚為攻擊系統(tǒng)的人會(huì)想要擦倬他入侵的記錄,因此這會(huì)讓中央登錄系統(tǒng)變成第二個(gè)攻擊目標(biāo)，日志存儲(chǔ)的設(shè)備和系統(tǒng)必須要正確的

生成有意義事件的告警消息。最小的系統(tǒng)每天也能生成M單位的日志數(shù)據(jù).大一點(diǎn)的系統(tǒng)抵天可以生成上G的日志。這么大?的日志數(shù)據(jù),人們很難從中尋找到跋助，集中

遵循*應(yīng)〃騏。對(duì)于每種可能生成的告警.工作人員都需要知道他們應(yīng)該采取什么樣的行動(dòng),響應(yīng)流程應(yīng)該是書面性的.而且應(yīng)該進(jìn)行檢查和實(shí)踐”

記錄對(duì)于戚脅告警的響應(yīng).當(dāng)告警產(chǎn)生以后，對(duì)于該告警消息產(chǎn)生的響應(yīng)應(yīng)該進(jìn)行記錄.這包括采取的措施、時(shí)間、以及執(zhí)行的人.

松去重要事件.重要事件需要進(jìn)行復(fù)2E,討論事件的原因，和應(yīng)對(duì)這種事件的所應(yīng)該采取的變化,以及喻應(yīng)的有效性。

威脅檢測并不只是技術(shù)向震，同時(shí)需要有正確的商業(yè)過程和步驟.對(duì)員工進(jìn)行教育讓他們知道如何使用工具和做響應(yīng)的決定，

威脅情報(bào)定義

企業(yè)威脅情報(bào)的定義是:

上下文相關(guān)、基于證據(jù)的知識(shí)、融入到平臺(tái)和工具中,能很快和正確的解決個(gè)人、企業(yè)所面臨的威脅的生態(tài)系統(tǒng)或標(biāo)準(zhǔn)化的資產(chǎn).

如果企業(yè)想要接近實(shí)時(shí)地對(duì)安全事件進(jìn)行回應(yīng).那么企業(yè)就特要威脅情報(bào)。但是想要威脅情報(bào)作為一種有價(jià)值的商業(yè)過程并不簡單：安全產(chǎn)業(yè)并沒有在威脅情報(bào)的最優(yōu)管理上

威脅情報(bào)的源分為以下三類：

目標(biāo)情報(bào).這包括威脅單元和他們所用的技術(shù)以及c&c基N設(shè)施的信息.也可能包含目標(biāo)行業(yè)和傷害若的信息“

黑意軟件情報(bào)。包括已知惡意軟件和技術(shù)、目標(biāo)漏洞、被逆向的愿意軟件的信息.

名聲情報(bào).已知的惡意戶地址、域名和URL的信息.

威脅可見性

威脅數(shù)據(jù)的內(nèi)部來源

你發(fā)現(xiàn)安全事件的主要來源可能是日志數(shù)據(jù)收集。企業(yè)的集中化的日志收集和事件檢測應(yīng)該包含以下的日志源

■防火墻

路由器和交換機(jī)

■IPS

網(wǎng)絡(luò)流系統(tǒng)

Web過濾器

Datalossprevention數(shù)據(jù)丟失預(yù)防系統(tǒng)

郵件服務(wù)器和垃圾郵件過濾器

服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用

■終端

物理安全系統(tǒng)

環(huán)境控制系統(tǒng)

■代理

無線AP

■漏洞掃描工具

網(wǎng)絡(luò)上存儲(chǔ)、處理、傳遞敏感數(shù)據(jù)的設(shè)備都應(yīng)該記錄曰志到集中的曰志管理系統(tǒng)中.

威脅數(shù)據(jù)的外部來源

企業(yè)要在邊界外尋找威脅情報(bào)數(shù)據(jù)采使他們能對(duì)潸在剛協(xié)進(jìn)行哂應(yīng).這包括威脅數(shù)據(jù)的技術(shù)源和策略源.首先看一下技術(shù)源:

廠商安全建議“成熟的哽件和軟件廠商會(huì)公布公司產(chǎn)品的安全建議來向客戶發(fā)出威脅和解決方案的告警消息.

開源安全建議。一些安全研究團(tuán)隊(duì)和公司會(huì)公布一些威脅信息。這些建議的發(fā)布時(shí)間會(huì)比廠海的運(yùn)議更早一些，

法律實(shí)施和新向媒體。美國國土安全部這樣的法律實(shí)施組織會(huì)向公眾和可信方發(fā)布建議.

商業(yè)解決方案。IBMXforce也會(huì)威脅情報(bào)提供源.

處理威脅數(shù)據(jù)

之前說過要把分散在不同位置的日志數(shù)據(jù)集中在一起，但這不只是存儲(chǔ)GB/PB級(jí)的日志數(shù)據(jù)。還需要對(duì)這些數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，及時(shí)識(shí)別威脅,讓工作人員可以及時(shí)哨應(yīng)和阻

圖3QRadar主界面

異常檢測

一個(gè)檢測威脅的有效方法是能夠在系統(tǒng)和網(wǎng)絡(luò)中檢測異常，這是通過長期觀察系統(tǒng)行為和網(wǎng)絡(luò)流量進(jìn)行的.這也是一個(gè)基線。當(dāng)系統(tǒng)或網(wǎng)絡(luò)中出現(xiàn)沒有出現(xiàn)過的任何事(異常

異常檢測有三個(gè)主要的組件：

用戶一點(diǎn)用和的抿剖析

■閥值

■季節(jié)性

異?？梢酝ㄟ^自動(dòng)化的規(guī)則和特定的查找規(guī)則發(fā)現(xiàn)。姑本點(diǎn)是通過用戶行為的明顯變化、應(yīng)用的違接數(shù)、數(shù)據(jù)量等來識(shí)別。

4威脅響應(yīng)

響應(yīng)安全事件

響應(yīng)步驟

1、檢測

在這一階段意設(shè)到安全事件的存在,這可能耒源于SIEM(securityInformationandeventmanagement)平臺(tái)或者外部廠商發(fā)布的警告或通知.

2、分析

通過研究事件的線索來證明它的合理性，還要看是否和一些!§兆信息相關(guān)。分析師可能需要做進(jìn)一步測送、收集額外的信息來建立一個(gè)更加完整的事件畫面。

3、優(yōu)先級(jí)

在事件分析的過程中,專業(yè)技術(shù)人員會(huì)迅速理解事件對(duì)組織繼續(xù)處理能力的影洎,也就是對(duì)重要信息的機(jī)密性和完整性的影響。龍事件評(píng)定優(yōu)先級(jí)可以希助管理人員理解隨后

4、通知

事件咕應(yīng)需要通過在組織中通知合理的人員。組織需要通知外部的第三方，比如客戶、商業(yè)伙伴、管理者、法律執(zhí)行者和公眾等.決定通知的范圍掌樨在高管手中.

5、遏制和取證

事件洎應(yīng)者和可能參與的其他工作人員開始采取措旅來停止該事件,包括短期的改變來停止該事件。同時(shí),鬲要迸行取證工作的證據(jù)采集.

6、恢復(fù)

事件靖應(yīng)者移筌惡意軟件、重建系統(tǒng)、各份恢復(fù)、系墳補(bǔ)丁分發(fā)、采取響應(yīng)的措施防止同樣的事件再次發(fā)生。

7、事件回看

事后回在的目的是松查事件檢測開始的步驟和事件響應(yīng).這幫助找出事件檢測和響應(yīng)的不同方面,改弱系統(tǒng)、工具、過程和員工培訓(xùn)的機(jī)會(huì).目的是為了防止再次發(fā)生和改菩

培訓(xùn)

這種事件并不會(huì)經(jīng)常在大多數(shù)組織中發(fā)生.所以事件哨應(yīng)者可能不熟悉這些過程.為了讓事件響應(yīng)者更熟悉哂應(yīng)的過程,需要進(jìn)行下面的過程

培訓(xùn)：有經(jīng)聆的應(yīng)急響應(yīng)專家（老師）進(jìn)行過程的培訓(xùn)。

實(shí)踐：模擬真文的事件,讓培訓(xùn)的經(jīng)驗(yàn)更加真實(shí)、記得也更加深刻。

建議的培訓(xùn)周期是每年一次。

自動(dòng)修復(fù)

IBMBigFix這樣的工具可以可以對(duì)高級(jí)威脅和漏洞在分鐘級(jí)上進(jìn)行響應(yīng).與IBMResilient工具配合使用,可以幫助減小數(shù)據(jù)泄露和攻擊帶來的傷吉，

尋求外援

盡管是最好的規(guī)劃、最好的安全響應(yīng)步驟、工具和培訓(xùn),企業(yè)需要外部對(duì)于安全事件提供幫助.比如稅惠信息和知識(shí)產(chǎn)權(quán)的竊?。篒BM

Xforce應(yīng)急響應(yīng)和情報(bào)服務(wù)中心就是這樣的外部幫助.可以為公司提供安全應(yīng)急響應(yīng).幫助其管理安全事件、執(zhí)行取證、修復(fù)溫澗、改善安全策珞、步驟和操作，

持續(xù)改善

與IT、安全和質(zhì)急響應(yīng)相關(guān)的所有東西.企業(yè)都應(yīng)該采取持續(xù)改善的方法，對(duì)安全應(yīng)急響應(yīng)來說.就是：

至少每年檢查一次過程文檔，尋找可以改善的地方。

檢查現(xiàn)有的工具和工具所只備的能力.來尋找加快應(yīng)急檢測、響應(yīng)和修復(fù)的機(jī)會(huì).

檢查事件來尋找改善響應(yīng)過程的機(jī)會(huì).通過改變系統(tǒng)和過程又幫助減少事件發(fā)生的可能性和帶來的響應(yīng)。

必須在實(shí)踐中對(duì)步驟進(jìn)行實(shí)踐,來庭保有效住，

改芒有許多的形式,包括技術(shù)先進(jìn)性,步驟文件中額外的細(xì)節(jié)、工業(yè)標(biāo)準(zhǔn)的更新、更好的應(yīng)急響應(yīng)和取證工具.更多更好的員工培訓(xùn)。

網(wǎng)絡(luò)取證

除非入侵者走入辦公室或數(shù)據(jù)中心去飾電腦或電子媒體.一般來說,攻擊者會(huì)使用企業(yè)的網(wǎng)絡(luò)來進(jìn)行監(jiān)控、攻擊目標(biāo)系統(tǒng)和窗取數(shù)據(jù),因?yàn)槿肭终邥?huì)使用企業(yè)的網(wǎng)絡(luò)來竊取企

監(jiān)控

每個(gè)企業(yè)都會(huì)有需要逸守的法律、規(guī)章和標(biāo)準(zhǔn)，一些是企業(yè)必須監(jiān)控的.包括

遵循情況。法律和工業(yè)標(biāo)準(zhǔn)強(qiáng)制執(zhí)行對(duì)數(shù)據(jù)保存、傳輸?shù)冗^程的安全需求。

反惡意軟件狀態(tài)和惡意軟件感染,記錄所有惡意軟件嘗試感染系統(tǒng)、改變行為的行為.還有終端和服務(wù)器上反惡意軟件軟件的健康狀態(tài)，

防火墻規(guī)則的例外,通過配置防火墻來記錄外部和內(nèi)部違法安全策略發(fā)送流量的嘗試，一些事件表明即將到來和正在進(jìn)行的安全事件需要及時(shí)的響應(yīng)。

IPS告警.1巧的告警消息大多是網(wǎng)絡(luò)偵查的暗示，這是燮試入侵組織或入侵已經(jīng)發(fā)生的標(biāo)志”

無效嘗試特權(quán)賬戶的登錄.內(nèi)部或外部的人會(huì)嘗試登錄網(wǎng)絡(luò)設(shè)備、服務(wù)器、終潴和應(yīng)用上的特權(quán)帳號(hào)來竊取信息或破壞操作.

對(duì)系統(tǒng)和設(shè)備非授權(quán)的改變.內(nèi)部和外部的人員可能會(huì)對(duì)系統(tǒng)和設(shè)備進(jìn)行非授權(quán)的改變.對(duì)內(nèi)部人員來說,對(duì)內(nèi)部人員來說,有時(shí)候是由于粗心,有時(shí)候就是烝意的.

應(yīng)用和應(yīng)用配置的非授權(quán)修改。攻擊者可能會(huì)嘗試對(duì)應(yīng)用和配置進(jìn)行非授權(quán)的修改,有時(shí)候是因?yàn)楣芾聿簧频脑?但是有時(shí)是將組織的錢和也感數(shù)據(jù)進(jìn)行分割的方案的

嘗試?yán)@過認(rèn)證機(jī)制。入侵者有很多不同的技巧來欺騎系統(tǒng)和設(shè)備讓他們在不提供登錄憑證的情況下盤錄。

要試改變或限制活動(dòng)日志，如果入侵者能夠通過改變活動(dòng)能夠日志的方式艱除他的記錄,那就會(huì)讓事件檢測和取證變得更難，

凳試訪問數(shù)據(jù)中心等敏感區(qū)域.迸入敏感區(qū)域竊取組件、備管集體、筆記本、服務(wù)器.

哲理不若等會(huì)造成很多的安全除患,所以大多數(shù)的組織需要執(zhí)行監(jiān)控來檜測這些活動(dòng).

5安全操作和響應(yīng)

安全供應(yīng)商生態(tài)

很多企業(yè)從不同的生產(chǎn)商處購買安全工具卻沒有考電這些安全工具如何協(xié)同的問題.即使企業(yè)在每種工具里選擇了最好的,結(jié)果也可能是這些工具在解決有些問題上有田疊

Security就提供了這樣的安全生態(tài)環(huán)境“

完整的威脅管理

IBMSecurityOperationsandResponse架構(gòu)能夠幫助企業(yè)應(yīng)該大多數(shù)高級(jí)和潛在威脅；IBMX-Force

Exchange是一個(gè)基于云的威脅情報(bào)分享平臺(tái),該平臺(tái)的威脅情報(bào)型分鐘更新一次。

戰(zhàn)勝持續(xù)的復(fù)雜威脅需要三步策略.分別是

預(yù)防。利用攻擊來幫助預(yù)防攻擊。這些工具包括基于網(wǎng)絡(luò)的和基于終端的保護(hù)工具。

檢測。因?yàn)椴豢赡茴A(yù)防所有攻擊,或許已經(jīng)網(wǎng)絡(luò)中已經(jīng)有了惡意軟件，所以槍窩是很關(guān)鍵的一步。檢測到攻擊之后.需要很快地進(jìn)行響應(yīng)。

項(xiàng)應(yīng)。企業(yè)需要工具,也要知道如何迅速有效地迸行響應(yīng)。

SIEM安全信息和事件管理系統(tǒng)

預(yù)防、檢測、曲響應(yīng)都需要對(duì)綜合數(shù)據(jù)的訪問，安全信怠和事件管理(SIEM)系統(tǒng)是威脅管理環(huán)境的核心。SIEM需要從不同的系統(tǒng)和設(shè)備收集登錄數(shù)據(jù).然后執(zhí)行實(shí)時(shí)分析

通信協(xié)議

對(duì)于系統(tǒng)間的電子傳遞的威脅信息，已經(jīng)有了很多標(biāo)毒。這些標(biāo)準(zhǔn)讓企業(yè)更加容易地將隔闕的點(diǎn)產(chǎn)1s融合到威脅管理系統(tǒng)中去。

6綜合威脅管理的十大技術(shù)

下面是十大有效響應(yīng)威脅的技術(shù)：

ExposureAnalysis漏洞分析

理解每個(gè)漏洞和威脅的含義和對(duì)企業(yè)帶來的影響是非常有必要的，所以分析師需要琬定每個(gè)漏洞和威脅的風(fēng)險(xiǎn).芥斷出每個(gè)漏河的事件場景，還需要理解可能的應(yīng)急場毋的種

PrioritizeRisk風(fēng)險(xiǎn)評(píng)級(jí)

每個(gè)威脅都有發(fā)生的可能性,會(huì)對(duì)企業(yè)帶來一定的影響，每個(gè)漏澗都有被利用的可能性.也有漏洞被利用的影響，每個(gè)事件也會(huì)