隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn),以及人工智能等新一代信息技術(shù)的廣泛應(yīng)用,數(shù)字資產(chǎn)的開放性、重要性和復(fù)雜性與日俱增,企業(yè)在網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面面臨著前所未有的挑戰(zhàn)。
安全左移
2023年,在全球范圍內(nèi),網(wǎng)絡(luò)安全事件層出不窮:美國某醫(yī)療設(shè)備廠商遭遇網(wǎng)絡(luò)攻擊,超過100萬人的敏感信息被泄露;愛爾蘭一家知名的水果和蔬菜生產(chǎn)商由于遭受勒索軟件,生產(chǎn)工廠暫時關(guān)閉,導(dǎo)致了數(shù)千萬美元的經(jīng)濟(jì)損失……諸如此類的安全事件不勝枚舉。究其原因,有的企業(yè)由于安全體系不健全,面對隱蔽性極強(qiáng)的攻擊“后者后覺”,最終導(dǎo)致了無法挽回的經(jīng)濟(jì)損失;有的企業(yè)雖然在其內(nèi)部網(wǎng)絡(luò)中檢測到了異常活動,但由于應(yīng)對不利,也給業(yè)務(wù)的正常運(yùn)行造成了負(fù)面影響
無論是因?yàn)?ldquo;看不清”,對漏洞、弱密碼“視而不見”,或者由于安全設(shè)備多、告警復(fù)雜,只能是“霧里看花”,還是雖然“看得清”,但面對攻擊手法快速迭代的黑客攻擊、零日漏洞、病毒的新型變種等,由于能力不足或防護(hù)難度大而“防不住”,企業(yè)的安全底線正受到越來越嚴(yán)峻的挑戰(zhàn)。在這種情況下,企業(yè)必須積極行動起來,全面增強(qiáng)安全防護(hù)意識,將“安全左移”,采用更加行之有效的手段和工具,提前預(yù)測、發(fā)現(xiàn)、揭示安全漏洞,從而更好地保護(hù)數(shù)字資產(chǎn)的安全。
“看見”威脅
受利益的驅(qū)使,再加上技術(shù)上的演進(jìn),現(xiàn)在的攻擊者有更充足的時間和資源設(shè)計并隨時隨地發(fā)動新的攻擊。而且攻擊越來越具有隱蔽性和針對性,破壞性也更強(qiáng),很多時候能夠輕易繞過防御或逃避檢測,這無疑增加了企業(yè)實(shí)施安全防護(hù)的難度。正因?yàn)槿绱耍鲃邮桨踩烙乃悸肪惋@得更加重要且必要。面對不斷變化的新型網(wǎng)絡(luò)攻擊,企業(yè)用戶應(yīng)站在攻擊者的角度去思考和研究,攻擊者可能采用的攻擊戰(zhàn)術(shù)和手段、攻擊的來源和路徑等,從而提升對攻擊的可見性,做到知己知彼,才能實(shí)時地發(fā)現(xiàn)安全威脅,修復(fù)和緩解由此可能產(chǎn)生的危害。
為實(shí)現(xiàn)上述目標(biāo),檢測和應(yīng)對網(wǎng)絡(luò)威脅不可或缺。所謂檢測和應(yīng)對網(wǎng)絡(luò)威脅,是指積極識別和處理計算機(jī)網(wǎng)絡(luò)、系統(tǒng)或組織內(nèi)潛在的安全事件和惡意活動。它包括監(jiān)視和分析網(wǎng)絡(luò)流量、系統(tǒng)日志和其他安全數(shù)據(jù),以識別未經(jīng)授權(quán)的訪問、入侵、惡意軟件感染、數(shù)據(jù)泄露或其他網(wǎng)絡(luò)威脅的跡象。近年來,包括大數(shù)據(jù)、人工智能、深度學(xué)習(xí)等技術(shù)的引入,進(jìn)一步提升了人們“看見”威脅的能力。這為企業(yè)打贏安全防御之仗奠定了堅實(shí)基礎(chǔ)。
一步也不能省
戴爾科技依據(jù)自身多年的安全防御實(shí)踐,歸納和總結(jié)出了一套檢測和應(yīng)對網(wǎng)絡(luò)威脅的流程和方法論,從監(jiān)視、威脅檢測、警報和通知、事件響應(yīng)、取證分析、修正和恢復(fù)等層面幫助企業(yè)用戶構(gòu)建一張主動式安全網(wǎng)絡(luò),從而進(jìn)一步增強(qiáng)企業(yè)自身的“免疫力”。
監(jiān)視:依靠入侵檢測系統(tǒng) (IDS)、入侵防御系統(tǒng) (IPS)、日志分析和威脅情報反饋等安全工具和技術(shù),持續(xù)監(jiān)視網(wǎng)絡(luò)和系統(tǒng)活動。越來越多的企業(yè)開始引入智慧監(jiān)測新模式,致力于構(gòu)建全方位、立體化、分層次的資產(chǎn)監(jiān)管體系。
威脅檢測:分析所收集的數(shù)據(jù),以識別可能表明潛在網(wǎng)絡(luò)威脅的模式、異常情況和失陷指標(biāo) (IoC),主要包括識別已知的攻擊特征,以及識別異常行為或偏離正常情況的行為。建立威脅情報體系對于主動防御大有裨益。通過構(gòu)建威脅情報生態(tài),建立威脅情報大數(shù)據(jù)共享開放平臺,能夠達(dá)到更好的縱深防御效果。
警報和通知:當(dāng)檢測到潛在威脅或事件時,要自動向安全人員或安全運(yùn)營中心 (SOC) 發(fā)出警報和通知。警報起到預(yù)警的作用,便于及時開展調(diào)查和采取應(yīng)對措施。
事件響應(yīng):啟動響應(yīng)計劃,調(diào)查和緩解已確認(rèn)的安全事件,主要包括遏制影響,確定根本原因,以及采取必要行動恢復(fù)系統(tǒng)并防止進(jìn)一步的損失。《網(wǎng)絡(luò)安全法》第二十五條明確規(guī)定:網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報告。
取證分析:對事件進(jìn)行詳細(xì)分析,以了解攻擊方法,確定數(shù)據(jù)泄露范圍,識別受影響的系統(tǒng)或數(shù)據(jù),并為可能的法律訴訟或處罰收集證據(jù)。在實(shí)踐中,企業(yè)應(yīng)采用風(fēng)險識別與事件監(jiān)測相結(jié)合的綜合研判技術(shù),探測發(fā)現(xiàn)威脅企業(yè)的數(shù)據(jù)安全事件,并提供完整追溯取證證據(jù)鏈。
修正和恢復(fù):采取措施修正漏洞、修補(bǔ)系統(tǒng)、刪除惡意軟件并實(shí)施增強(qiáng)的安全措施,將受影響的系統(tǒng)和數(shù)據(jù)還原到正常狀態(tài),同時汲取經(jīng)驗(yàn)與教訓(xùn),以防止今后類似事件的發(fā)生。
打贏安全持久戰(zhàn)
網(wǎng)絡(luò)安全的本質(zhì)就是對抗,而且是一場長久的博弈。為了應(yīng)對越來越復(fù)雜的網(wǎng)絡(luò)威脅,新的安全理念、技術(shù)也在不斷涌現(xiàn),并在應(yīng)用實(shí)踐中快速發(fā)展、不斷完善。在這場攻防大戰(zhàn)中,檢測和應(yīng)對網(wǎng)絡(luò)威脅的目的是盡可能降低安全事件造成的影響和潛在損害。如果企業(yè)能夠及時識別和應(yīng)對威脅,就能有效降低風(fēng)險,保護(hù)敏感數(shù)據(jù),保持業(yè)務(wù)連續(xù)性、維護(hù)聲譽(yù)。
檢測和應(yīng)對網(wǎng)絡(luò)威脅是一個持續(xù)且迭代的過程,需要將技術(shù)、熟練的人員、明確定義的流程以及組織內(nèi)的各個團(tuán)隊協(xié)同起來,采取積極有效的措施,持續(xù)提高環(huán)境的可見性、控制力和響應(yīng)能力,從而保證企業(yè)和組織正常的運(yùn)行時間目標(biāo)和業(yè)務(wù)發(fā)展。
