防止网络攻击的10个技巧

网络攻击天天都在增长,其频率和复杂程度也在增长; 更糟糕的是,它们常常绕过组织现有的保护控制。所以,除了其余安全层(如防病毒程序和防火墙)以外,组织还必须部署主动的威胁搜索活动,以便尽早检测并修复威胁,以减轻损害。开始攻击威胁计划的公司在成功时会有所成功,但他们是否可以实现这一目标?数据库

不幸的是,没有任何组织能够要求100%的安全性,许多人不得不承受臭名昭着的数据泄露和数百万美圆的损失。根据2018年的威胁狩猎报告,44%的受访者估计未被发现的数据泄露的财务影响超过50万美圆。安全

在本文中,咱们将向您介绍有效威胁搜寻的10个技巧,这些技巧将帮助您的组织更好地应对麻烦的网络攻击并避免合规性问题和财务损失。
防止网络攻击的10个技巧防止网络攻击的10个技巧服务器

1. 了解你的环境网络

威胁搜寻旨在发现异常活动,不然可能会对您的公司形成严重损害。了解您环境中的正常活动是理解非正常活动的先决条件。若是您了解正常的操做活动,那么任何异常都应该突出并注意到。ide

所以,猎人应该花费大量时间来了解他们环境中的正常和平常事件。此外,分析师必须了解包括系统,应用程序和网络在内的完总体系结构,以便他们可以发现可能为攻击者提供机会的弱点和漏洞。工具

此外,与IT内外的关键人员创建关系相当重要。事实上,这些人能够帮助威胁猎人区分异常活动和正常活动。例如,威胁猎手发现的每一个问题并不老是攻击。相反,它可能只是一种不安全的作法。为了改善组织的安全态势,威胁猎人必须充当有效的“变革推进者”,若是没有与他人的信任关系,这是不可能的。性能

2. 想象一下你是一个攻击者学习

一个好的威胁搜寻练习要求威胁猎人像攻击者同样思考。一般状况下,威胁猎手的任务是主动追击对手,并结束入侵的可能性。可是,若是发生了攻击,他们须要减轻其影响以减小伤害。可是,老是寻找入侵的迹象并非一个很好的方法。相反,威胁猎手应该努力预测攻击者的下一步行动。操作系统

一旦威胁猎人知道攻击者可能会作什么,他们应该设置一些触发器,一旦攻击者执行此移动就应该触发。CB Response等工具可用于肯定攻击者的行动。设计

请记住:没有任何组织老是拥有完美且难以理解的安全措施,并且攻击者如今使用很是复杂的技术来绕过公司的监控工具和大多数安全措施。所以,威胁猎人应该超越对手的指望,以防止攻击成为主要的噩梦。

3. 制定OODA战略

OODA是Observe,Orient,Decide和Act的缩写。军事人员在进行战斗行动时应用OODA。一样,威胁猎人在网络战期间使用OODA。在威胁搜寻的背景下,OODA的工做原理以下:

观察:第一阶段涉及从端点进行常规数据收集
Orient:完全了解收集的数据,并将此信息与其余收集的信息相结合,以帮助理解其含义。以后,分析是否发生了对流量的命令和控制(C&C)的标志或检测到任何攻击迹象
决定:一旦分析了信息,就须要肯定行动方案。若是事件发生,威胁猎手将执行事件响应策略
行动:最后阶段涉及执行计划以结束入侵并加强公司的安全态势。采起进一步措施以防止未来发生同类型的攻击
4. 使用足够的资源

威胁狩猎被认为是当今最好的安全解决方案之一。可是,投入足够的资源,包括人员,系统和工具,对于有效地进行威胁搜寻是不可或缺的。

人员是指威胁猎手,他们必须具有操做系统(OS)和子系统的深刻知识,例如应用程序服务器,Web服务器,数据库服务器,数据库管理系统,更重要的是网络,Wi-Fi系统和Internet共。了解CB响应工具也颇有帮助。

5. 保护全部端点

端点安全是客户端/服务器信息安全方法,用于经过监视端点(网络设备),其活动,软件,身份验证和受权来保护公司的网络。保护全部端点相当重要,由于疏忽可能会给对手留下空白点。一般,除了位于每一个端点上的客户端安全软件以外,还经过安装在网络中集中管理的服务器或网关上的安全软件来确保端点安全性。

仅使用防病毒程序没法阻止高级持久性威胁(APT)。所以,组织也应该部署端点保护解决方案,例如CB Response或Comodo端点保护软件。

6. 网络可见性是关键

除了在全部端点上部署威胁搜索工具以外,还必须深刻了解网络环境中的攻击模式和活动。您能够经过使用容许您具备网络可见性的其余工具来实现此目的。

在您设置高级端点工具时,还应使用入侵检测系统(IDS),入侵防护系统(IPS),NetFlow,Web过滤器,防火墙和数据丢失防御系统(DLP)等工具。经过这种方式,您能够验证攻击并收集有关可能表示违规的异常流量模式的宝贵知识。

7. 注意威胁狩猎的人性

威胁搜寻的一个关键部分是与公司的主要IT人员进行有效和高效的沟通。这意味着威胁猎人应该以不一样的方式与端点工程师,应用程序开发人员,服务台和系统工程师协同工做。威胁猎人实际上须要与他们进行有效沟通,以便了解关键系统和应用程序的操做。在搜索敌人时,猎人会发现网络,系统和应用程序的设计和实施中的漏洞。

威胁猎手和关键IT人员之间的信任关系是不可或缺的。最重要的是,在响应事件时,您须要他们的协做。只有经过确保相互信任,您才可以在环境中的弱点和漏洞面前一块儿正确诊断恶意活动并执行补救。

8. 记录你的狩猎记录

优秀的威胁猎手不只试图遏制或消除恶意入侵,还记录他们在IT环境中执行的每一次威胁搜索。您不只须要详细说明每一个案例的技术信息,更重要的是,您须要记录与公司相关的业务知识,例如,寻找缘由。

但若是没有合理收集数据,好的文档就不值得。必须选择一种能够帮助您组织威胁搜寻活动的工具,以便在您怀疑反复入侵并与其余方分享知识时从新审视您的步骤。可用于组织数据的工具可能包括报告工具,分析工具甚至Microsoft Excel。

9. 保持刀锋锋利

即便最好的武器也会生锈,除非它获得照顾。为了有效地开展工做,威胁猎人须要作好准备,并始终对可疑活动保持警戒。因为网络犯罪分子正在寻找数十种新方法来渗透安全系统,所以威胁猎手须要不断学习和发展他们的技能,以便让本身可以应对挑战。

每一个职业威胁猎人都必须花时间接受技术培训

10. 及时了解现代攻击趋势

在不断发展的技术世界中,威胁行为者天天都在开发新的攻击。网络犯罪分子具备创造性,他们正在利用这种创造力不断发明新的犯罪方法。威胁猎人须要跟上不断变化的网络攻击格局。

在不久的未来,他们将会为他们作不少工做。根据Alert Logic 2018年的威胁搜索报告,安全专家将55%的高级威胁检测做为其安全运营中心(SOC)的首要挑战。此外,43%的安保人员缺少足够的技能来缓解这些威胁。此外,36%的自动化工具严重缺少威胁性能力。为了防止入侵,威胁猎人必须本身掌握现代威胁形势和犯罪分子发现进行攻击的复杂技术。

相关文章
相关标签/搜索