为什么威胁管理如此重要?
攻击者不断调整攻击手段来避开当前防御措施,因此管理并缓解威胁对于企业至关重要。使用威胁管理工具和实践,IT 安全专业人员能够实现以下目标:
- 保护关键数据
- 维系客户信任
- 保障正常运营
- 避免内部威胁和高级网络攻击造成重大损失
威胁管理存在哪些挑战?
威胁管理方面存在的一些常见挑战包括:
- 安全系统缺乏对网络的可视性
- 关键绩效指标 (KPI) 洞察和报告有限
- 网络安全专业人员技能短缺
- 勒索软件、网络钓鱼和分布式拒绝服务 (DDoS) 攻击等网络威胁不断翻新花样
- 恶意或失职内部人员造成威胁
常见威胁类型有哪些示例?
网络威胁的主要类型包括:
- 故意威胁,如恶意攻击者发起的网络钓鱼、间谍软件和恶意软件、病毒或拒绝服务 (DoS) 攻击
- 人为错误导致的非故意威胁,如点击恶意链接或忘记更新安全软件
威胁管理有何示例?
统一威胁管理 (UTM) 是全面的网络威胁管理解决方案,它将多个安全功能或服务融入一个平台,从而有效保护网络及其用户。这些功能包括应用控制、恶意软件防护、URL 过滤、威胁情报等。
威胁、风险和漏洞有何区别?
威胁
能够利用漏洞并影响资产的机密性、完整性或可用性的任何可能性都属于网络安全威胁。例如,尝试使用有针对性的邮件进行的网络钓鱼攻击属于故意威胁。然而,员工通过未受保护的公共 Wi-Fi 网络访问企业资产属于非故意威胁。
漏洞
漏洞是系统、软件、硬件、应用或程序中可被攻击者利用的弱点。漏洞管理包括修补已知漏洞,避免漏洞被人利用。威胁发起者可能会利用未修补的漏洞来访问资产、安装恶意软件、损坏数据或泄露敏感信息。
风险
网络安全风险是指威胁利用漏洞的可能性以及威胁可能造成的潜在损害。由于风险无法消除,因此风险管理旨在将组织的网络风险降至可控水平。在此过程中,主动修补漏洞并减轻威胁是非常重要的举措。
威胁和漏洞管理简介
要降低企业面临的网络攻击风险,需先从威胁和漏洞管理入手。威胁管理主要监控威胁并应对威胁,而漏洞管理则旨在帮助修复系统缺陷,避免被威胁利用。这两种策略对于减轻整个 IT 环境的网络风险至关重要。
有哪些有效检测威胁的方法?
基于签名的检测
基于签名的检测依靠预先定义的已知威胁模式或签名来发现威胁并触发警报。此方法能够有效发现已知威胁,但对于缺少匹配签名的未知威胁或不断演变的威胁则不太奏效。
过去,防病毒软件依靠签名来发现病毒,但恶意软件开发者已经学会避免将签名与病毒相匹配。现在的下一代恶意软件解决方案采用高级技术来检测和阻止威胁,如行为分析、机器学习、沙盒和威胁情报。
基于指标的检测
基于指标的检测根据预定义的指标将文件或活动标记为安全或不安全。感染指标 (IOC) 是基于指标的威胁检测的常用规则,它用作数字信号并指示恶意活动。IOC 在与其他检测方法配合使用时更加有效。
IOC 示例包括位置异常、域名系统 (DNS) 请求异常、针对同一文件的大量请求以及非人类 Web 流量行为。
基于建模的检测
建模通过数学模型来定义正常状态,并随时间确定任何偏离。一个经过充分训练的模型能够有效发现未知威胁,但此方法需要持续调整。
例如,用户实体行为分析 (UEBA) 和网络行为异常检测 (NBAD) 均为利用建模的威胁检测形式。
威胁行为检测
威胁行为检测用于确定通常与恶意意图关联的行为模式。它不只是关注特定指标,而是汇编攻击者间谍情报技术,以标记符合已知攻击策略、技术和程序 (TTP) 的行为。威胁行为分析可以捕获大量攻击策略,包括不断演变的攻击策略。
例如,一名攻击者尝试升级权限并在网络中横向移动,此行为符合常见攻击 TTP 并会触发威胁行为警报。
威胁情报
全球威胁情报组织从全球各个来源持续收集并分析数据以确定新型威胁。此方法通过比较当前网络活动与历史模式和全球模式来检测威胁,能够快速发现异常行为或 IOC。
例如,通过跟踪多个区域中网络流量的异常高峰,可以发现协同 DDoS 攻击或大范围恶意软件爆发。
威胁管理如何运作?
全面的威胁管理系统大多遵循美国国家标准技术研究院 (NIST) 制定的网络安全框架 (CSF),以此来主动管理网络威胁并降低网络风险。主要功能包括识别资产、保护资产、检测威胁、响应事件和恢复活动。下面介绍了每个功能如何管理威胁。
识别
网络威胁管理的第一步需要盘点组织关键资产和资源的详尽清单。此功能可帮助您了解您的企业环境、供应链、治理模式和资产管理,以确定资产中的漏洞以及相应威胁和风险。
保护
保护功能包括实施安全工具、流程和解决方案来保护敏感信息并管理威胁和漏洞。这包括利用访问控制、身份管理、数据备份和保护、漏洞补救以及用户培训。
检测
检测功能使用威胁检测工具持续监控系统中的潜在威胁,以便在灾难发生之前做出补救。威胁情报、威胁追踪、用户和行为分析、网络监控以及终端监控都是能够发现潜在威胁并支持快速响应的威胁检测工具示例。
响应
在检测到安全事件时,响应功能可帮助团队执行正确程序。制定事件响应计划 (IRP)、测试并改进程序并与利益相关者沟通非常重要。威胁检测和响应解决方案能够优化这一流程,包括发现威胁并提供自动化响应。
恢复
威胁管理的最后一步是在发生攻击、漏洞或其他网络安全事件后将系统恢复正常。IRP 应包括可快速恢复数据、系统和运营以确保业务连续性的措施。可以利用任何经验教训来更新 IRP,以改进威胁管理并增强安全弹性。
威胁管理有哪些类型?
统一威胁管理 (UTM)
UTM 安全将多个网络安全功能和服务融入一个统一平台或设备,可以在本地或云端进行管理。每个供应商的 UTM 网络安全功能有所不同,但通常都包括 VPN、应用可视性与可控性、恶意软件防护、内容和 URL 过滤、威胁情报以及入侵防御系统 (IPS)。
托管检测和响应 (MDR)
MDR 是由一支技能熟练的安全专家团队主导的威胁管理服务,这支专家团队全天候监控安全数据,能够快速检测并应对威胁。MDR 解决方案利用高级威胁情报工具和人员调查,帮助组织更快发现并遏制威胁。
扩展检测和响应 (XDR)
XDR 解决方案提供对网络、云、终端和应用中的数据的可视性。此类解决方案利用分析和自动化来检测、分析和追踪当前威胁与潜在威胁并做出补救。
安全信息和事件管理 (SIEM)
SIEM 是汇聚日志和事件数据、威胁情报与安全警报的安全工具。SIEM 网络安全软件应用自定义规则来确定威胁警报的优先级,帮助安全专业人士更好地解读数据并更快对事件做出响应。
安全协调、自动化和响应 (SOAR)
SOAR 是简化威胁管理的技术堆栈。它可自动执行流程、协调安全工具并促进事件响应。SOAR 能够减少手动任务、加快解决事件并促进各安全团队之间的协作,从而大幅提高效率。
漏洞管理 (VM)
VM 是威胁管理中的主动举措,旨在降低被利用的风险。VM 解决方案有助于确定和跟踪 IT 系统与软件中的安全弱点和缺陷,确定其优先级并实施补救,从而降低被利用、数据泄露和网络攻击的风险。
下一代入侵防御系统 (NGIPS)
NGIPS 提供高级威胁防御,可以分析整个网络中的用户、应用、设备和漏洞,涵盖本地设备、云基础设施和常见虚拟机监控程序。NGIPS 支持网络分段、实施云安全并确定漏洞修补的优先级。
高级恶意软件防护 (AMP)
AMP 是防御复杂恶意软件威胁的防病毒软件。AMP 用户保护计算机系统,它能够主动发现并阻止危险软件病毒,如间谍软件、蠕虫、勒索软件、特洛伊木马和广告软件。
下一代防火墙 (NGFW)
NGFW 是对网络流量实施安全策略的网络安全设备,通过安全策略来允许流量或阻止现代威胁(如应用层攻击和高级恶意软件)。专注于防御威胁的 NGFW 提供深入情景感知、动态补救以及网络和终端事件关联分析,可缩短从检测到恢复的时间。