端點安全:贏得與時間的戰爭
作者:星期四, 九月 26, 20190

我們一直都處于優勢地位,我們擁有端點。

對抗任何對手的一個共同點是什么?在攻擊者和防御者間的斗爭中,最寶貴的“制勝秘訣”是什么?到目前為止,對手始終擁有的一個優勢是什么?SentinelOne 首席安全技術專家 Scott Scheferman 寫道,答案就是時間本身。

威脅 (從WannaCry和NotPetya到MegaCortex和RobinHood) 之所以能夠取得成功的原因其實并不復雜。它們只是始終走在了我們前面而已,遠在我們能夠阻止它們之前就成功實現了入侵。威脅正在以 “機器速度” 不斷向前發展,然而,我們的防御能力并沒有達到這種程度。威脅是高度自動化的,然而,我們的防御并不是!

WannaCry 可以說是有史以來復雜程度最低且寫得最差的勒索軟件有效載荷之一。但正是由于其驚人的傳播速度,最終戰勝了企業的防御機制并擊潰了反應落后的事件響應團隊,為全球企業造成了難以挽回的慘重后果。

確實,這篇文章最重要的一個觀點就是 “我們的防御速度滯緩”。大多數威脅并沒有極其復雜的技術和戰略內容,它們的制勝秘訣就是比我們的防御速度更快!這就是為什么我們今天仍然無法像兩年前一樣對即將到來的BlueKeep蠕蟲做好準備的原因。

777福彩3d字谜图谜:我們告訴自己的那些謊言

2011年福彩3d走势 www.oykik.tw 那么我們如何才能贏得時間呢?答案是,我們可以從揭露并顛覆這些不真實的 “謊言” 開始:“這是一個關于‘何時’ (when) 的問題,如果不是,我們將受到損害” 以及 “攻擊者只需要正確一次就能獲得成功,而防御者則需要始終保持正確才能阻止一次違規行為?!?/p>

事實是,如果我們作為防御者無法控制 “何時”,那么它就只能成為一個 “如果……那就(不)” 的問題。

事實是,我們大多數人在過去的 3 – 4 年中已經建立了龐大的且極度混雜的解決方案堆棧,其中絕大多數只能在事實發生后為我們提供幫助。然后,我們又花了 1 – 2 年的時間試圖讓所有人能夠相互交流,以了解組織究竟發生了什么事情。但結果仍然是太少、太晚!

當我們將最好的(和非常稀有的)人才淹沒在繁復的工作中時,對手就會從中受益。跟蹤根本原因分析(RCA,一種解決問題的方法,其基于這樣的理念:解決問題的最好方法是修正或消除問題產生的根本原因,而不是僅僅消除問題帶來的表面上顯而易見的不良癥狀);審查假陽性警報;不斷改進我們的 “劇本” 以適應我們所期待的事件;我們已經完全喪失了對事件整體情節的掌握……而這一切無人可怪,要怪只能怪我們自己。大多數安全供應商只會構建一些他們認為企業感興趣的東西,而且他們的投資者都希望他們能有涉及 “云” 的項目……希望他們擁有基于訂閱的 OPEX 模型,希望他們出售警報量、寬帶、數據保留、每秒事件數以及 pew-pew 激光地圖等等。

我們站在這里一遍又一遍地做著同樣的事情,同時期待獲得更好地結果。我們面對數百萬的人才缺口,但是我們仍然將無數繁復的任務——事后分析、警報、誤報、捕獲、根本原因分析活動——壓在為數不多的幾名疲憊不堪的分析師身上。

端點是網絡安全的戰場

擊敗對手的關鍵是要了解他們的去向,他們到達目標點后會做些什么,然后采取能夠預見敵人行動路徑的措施,以順利阻斷他們的前行道路。而這場戰爭的戰場就在端點……沒錯,就是你的端點。這是發起攻擊的地方,同時也是獲得持久性的地方;這是橫向移動來往反復的地方;這是流程被注入的地方,是網絡數據包源自的地方,是數據存在的地方也是最終用戶創建的地方;這是惡意行為者滲透的入口,而且這幾乎總是根本原因分析 (RCA) 最終指向的目標。

我運營了事件響應小組多年,且非常有幸地訪問過成千上萬的妥協評估報告。我已經可以告訴你你的 RCA 結果將會是什么樣;我知道他們是如何侵入的——魚叉式網絡釣魚、社會工程手段、遠程桌面協議 (RDP)、易受攻擊的 Web 服務、內部威脅,以及您的托管安全服務提供商 (MSSP) 或第三方/供應鏈。

遺憾的是,我們大多數人可能沒有在每個面向外部的應用程序上運行多因素身份驗證 (MFA) 機制;或者,我們仍在運行不需要的 RDP 服務,并期待將它們放入VPN中會有所不同;也可能我們仍未修復我們的軟件安全開發生命周期(SSDLC),因為我們沒有權力或是能力來實現這樣做所需的文化變革。而且沒錯,我們的最終用戶仍在點擊內容,因為這就是最終用戶在用于點擊內容的設備上所做的事情!他們不是問題,而且有效地培訓他們只是部分解決方案,即使我們對他們的行為有了可衡量的改進。

如果我們想要贏得勝利,就必須控制自己的端點??刂貧說閿氡歡亓私舛說惴⑸聳裁詞慮椴⒉皇且換厥?,它指的也不是從備份中還原端點的能力。它指的是在流程級別和軟件安全開發生命周期上對其進行控制。

如果我們擁有世界上所有的可見性:完全透明的視角,20/20 的視覺(即正常人 20 feet 能看清的東西你在 20 feet 之外也能看清)以及完美的后見之明,但是它卻無法在壞事發生之前足夠快地通知我們采取行動,那么我們所獲得的這些可見性就是對寶貴(人力)資源的無意義浪費,同時也是問題的根源所在。

扭轉對抗局面

現在是時候扭轉戰局,為實現防御者的利益贏得時間了。在前文中,我提出了一個誤導性的看法,即我們習慣告訴自己:攻擊者只需要正確一次就可以取得成功,而防御者則需要始終(100% 的時間)保持正確才能阻止一次違規行為。

現在,我們重新整理一下這種說法,讓它利好于我們:攻擊者在取得成功前的每一步都必須是正確的,而防御者只需要正確一次就可以阻止破壞行為的發生。

事實上,我們一直都處于優勢地位。我們擁有端點。這是我們的領地。我們能夠控制發生了什么,以及沒有發生什么。我們只是沒有實施足夠主動的“機器速度”防御措施來跟上威脅的步伐。

我們可以在惡意行為者行動之前護住內核;我們可以在他們站穩腳跟之前確定合法程序;我們可以知道大多數不良行為者在到達端點之前曾在其中做了什么;我們可以在惡意行為者侵入系統之前,利用神經語言程序學 (NLP) 和機器學習 (ML) 很好地了解潛在的惡意活動的全局;我們可以卸載任何我們認為容易受到攻擊或威脅的軟件;我們也可以撤銷任何未經授權的軟件或用戶對操作系統所作的更改。

我們完全有能力走在惡意行為者前面。如果我們看到從 Word 文檔派生 PowerShell 來獲取遠程文件,就可以在進程完全在內存中運行之前終止該進程。我們可以實現這一切,因為這是我們的領地,是我們的端點。

如果 MITRE ATT&CK 框架說明了一件事情,那就應該是:我們可以并且需要能夠插入一條主動殺傷鏈。ATT&CK 框架是對抗性的策略、相關技能和共識??蚣蘢隕淼墓セ饜災士梢勻冒踩ぷ髯糯庸セ魘詠?,深入了解安全事件。ATT&CK 是不同團隊、組織間溝通交流的語言。它的構造依賴攻防策略,以及攻擊者可能采用的戰術、技術,關注最嚴重的脆弱點。

大多數攻擊是自動化的,但是其自動化并不復雜,適應性也不強。我們完全有能力阻止這些攻擊發生在我們控制的領域(端點)中。

因此,應該說 “攻擊者在取得成功前的每一步都必須是100%正確的”,如果他們想要成功,他們就必須每一步都做到正確無誤。更重要的是,我們能夠發揮主動性,以能夠預見其行為的方式成功阻止他們!

就是現在!

時間是戰斗,端點是戰場。為了在 “機器速度” 領域贏得時間的勝利,我們必須實現自動化。為了實現自動化,我們必須確信它不會破壞企業業務或使命。為了足夠快地獲得信心,我們必須在適當的時間和地點充分利用高可信度的靜態規則,以及 NLP 或其他形式的 ML。我們必須能夠在主機上快速組合足夠的事件,以提供足夠的上下文來識別惡意活動并立即對其進行干預。

除此之外,我們的情報必須成為戰斗力所在,并允許自動化以機器速度運行。如果我們能夠認清重點,并在端點上贏得時間優勢,那么我們就有能力領先威脅一步,并解決我們的身份、憑證、物聯網、內部威脅、軟件安全開發生命周期以及供應鏈安全問題。

相關閱讀

 

端點安全:一個全新的世界

端點安全7大“必備”功能

加速檢測與響應的最新工具:MITRE ATT&CK 框架

 

 

 


相關文章

寫一條評論

 

 

0條評論