安全運(yùn)營團(tuán)隊(duì)面臨的關(guān)鍵問題和解決方案
      
                                    
                                
      
                                
      
                                    
      解決歧義是網(wǎng)絡(luò)安全不可否認(rèn)的一部分。隨著網(wǎng)絡(luò)攻擊者不斷改變策略,安全團(tuán)隊(duì)必須不斷適應(yīng)以抵御新威脅。這包括檢查新出現(xiàn)的問題,就如何最好地解決這些問題建立假設(shè),以及實(shí)施早期檢測(cè)策略。Fortinet FortiNDR with FortiNDR Cloud 既是此類努力的結(jié)晶,也是企業(yè)為應(yīng)對(duì)低速和慢速攻擊創(chuàng)造公平競(jìng)爭(zhēng)環(huán)境的開端。它可以作為基于云、Guided-SaaS 或內(nèi)部部署的方式交付,并為安全運(yùn)營團(tuán)隊(duì)當(dāng)今面臨的五個(gè)關(guān)鍵問題提供解決方案,包括:
      

      安全運(yùn)營團(tuán)隊(duì)面臨的關(guān)鍵問題和解決方案-南華中天
      

      一、延長(zhǎng)攻擊者停留時(shí)間
      

      十多年來,對(duì)手的停留時(shí)間一直遠(yuǎn)遠(yuǎn)超出可接受的范圍。據(jù)IBM稱,2022 年平均需要 277 天才能發(fā)現(xiàn)并遏制違規(guī)行為。這為攻擊者在入侵后提供了充足的機(jī)會(huì)來查找和竊取組織最敏感的數(shù)據(jù),通常是為了勒索贖金。
      

      安全團(tuán)隊(duì)經(jīng)常求助于網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR) 來解決這個(gè)問題,因?yàn)?NDR 通常通過分析網(wǎng)絡(luò)元數(shù)據(jù)來補(bǔ)充EDR和SIEM工具,以提供圍繞網(wǎng)絡(luò)活動(dòng)急需的上下文。元數(shù)據(jù)可以提供任何給定網(wǎng)絡(luò)事務(wù)的用戶名、主機(jī)名、域和狀態(tài)等信息。NDR 將元數(shù)據(jù)與人工智能 (AI) 和機(jī)器學(xué)習(xí) (ML) 相結(jié)合,讓 SOC 團(tuán)隊(duì)能夠快速分析大量數(shù)據(jù)。如 SUNBURST 事件所示,還建議安全運(yùn)營團(tuán)隊(duì)將數(shù)據(jù)保留 9 到 12 個(gè)月,以準(zhǔn)確識(shí)別初始訪問并了解違規(guī)的全部范圍。
      

      在當(dāng)今時(shí)代,磁盤存儲(chǔ)和云基礎(chǔ)設(shè)施使我們能夠智能地保留數(shù)據(jù),那么為什么 NDR 工具仍然只保留這么短的時(shí)間?FortiNDR 通過提供長(zhǎng)達(dá) 365 天的豐富網(wǎng)絡(luò)元數(shù)據(jù)打破常規(guī),因此安全團(tuán)隊(duì)有更多數(shù)據(jù)進(jìn)行深入分析,解決當(dāng)今高級(jí)攻擊者表現(xiàn)出的延長(zhǎng)駐留時(shí)間問題。
      

      二、NDR中缺少“R”
      

      當(dāng)然,從豐富的元數(shù)據(jù)中進(jìn)行初步檢測(cè)只是一個(gè)開始。盡管在安全技術(shù)上的支出創(chuàng)歷史新高,但52% 的 SOC 分析師表示 需要訪問更多開箱即用的內(nèi)容(例如劇本和規(guī)則)以緩解常見的痛點(diǎn),因?yàn)樗麄冊(cè)谕{調(diào)查上花費(fèi)的時(shí)間越來越多,同時(shí)復(fù)雜性、警報(bào)疲勞和工作量增加。大多數(shù) NDR 解決方案通常遵從其他工具來執(zhí)行檢測(cè)分類、搜尋或調(diào)查,因?yàn)樗鼈內(nèi)狈?nèi)置的開箱即用功能。
      

      指導(dǎo)手冊(cè)和規(guī)則等開箱即用的內(nèi)容應(yīng)該能讓 SOC 團(tuán)隊(duì)的工作更加輕松。例如,F(xiàn)ortiNDR 指導(dǎo)手冊(cè)可幫助調(diào)查人員根據(jù)真實(shí)世界的行為采取正確的步驟來識(shí)別攻擊者。調(diào)查人員可以簡(jiǎn)單地選擇“Log4j Hunting”劇本,并使用包含最新威脅情報(bào)和檢測(cè)的預(yù)構(gòu)建查詢立即創(chuàng)建調(diào)查。FortiGuard Applied Threat Research 根據(jù)最近的攻擊者策略不斷更新、維護(hù)和創(chuàng)建新的劇本,以確保劇本與最新的威脅檢測(cè)功能保持同步。
      

      安全運(yùn)營團(tuán)隊(duì)面臨的關(guān)鍵問題和解決方案-南華中天
      

      FortiNDR 由高級(jí)威脅研究人員開發(fā)和構(gòu)建,結(jié)合 AI/ML 觸發(fā)事件,提供豐富的分類、搜索和調(diào)查工具,可加快檢測(cè)和響應(yīng)速度。實(shí)體和分面搜索、基于多個(gè)事件關(guān)聯(lián)的觀察以及 MITRE ATT&CK 映射等功能可幫助安全團(tuán)隊(duì)更快、更全面地響應(yīng)威脅。
      

      三、專業(yè)知識(shí)有限
      

      第三個(gè)挑戰(zhàn)源于全球網(wǎng)絡(luò)安全技能缺口和人才短缺。雖然安全團(tuán)隊(duì)正在與時(shí)間賽跑以保護(hù)他們的組織,但他們并不總是具備如何抵御最新網(wǎng)絡(luò)策略和技術(shù)的技能、時(shí)間或知識(shí)。FortiNDR 通過用虛擬或面對(duì)面的專業(yè)知識(shí)補(bǔ)充 AI/ML 分析功能來支持面臨技能差距挑戰(zhàn)的安全團(tuán)隊(duì),以確保他們最有能力檢測(cè)和阻止復(fù)雜的攻擊。
      

      由虛擬安全分析師 (VSA) 提供的虛擬專業(yè)知識(shí)分析和調(diào)查新出現(xiàn)的攻擊,而現(xiàn)場(chǎng)專業(yè)知識(shí)則由技術(shù)成功經(jīng)理 (TSM) 團(tuán)隊(duì)提供,他們回答有關(guān)調(diào)查結(jié)果、調(diào)整配置和優(yōu)化的問題部署。此外,F(xiàn)ortiNDR 由高級(jí)威脅研究人員維護(hù),他們管理機(jī)器學(xué)習(xí)模型并為推薦的調(diào)查提供開箱即用的劇本。
      

      四、合作調(diào)查
      

      雖然安全團(tuán)隊(duì)受益于使用針對(duì)保留的豐富網(wǎng)絡(luò)元數(shù)據(jù)的高級(jí)查詢來調(diào)查和尋找威脅的能力,但他們可以通過并行運(yùn)行查詢并允許全球 SOC 成員共同分析結(jié)果來進(jìn)一步加快響應(yīng)速度。
      

      具有并行搜尋功能的 FortiNDR 使安全專業(yè)人員能夠協(xié)調(diào)其全球 SOC 團(tuán)隊(duì)的威脅搜尋和調(diào)查工作。例如,位于美國的 SOC 分析師可以創(chuàng)建調(diào)查,而歐洲的同事可以同時(shí)復(fù)制該調(diào)查并更改或添加變量和查詢。這些結(jié)果通過 UI 共享,每個(gè)分析師都可以在 UI 中根據(jù)自己的評(píng)估繼續(xù)調(diào)整和擴(kuò)展調(diào)查結(jié)果。這是一種其他 NDR 供應(yīng)商無法比擬的協(xié)作調(diào)查方法。
      

      安全運(yùn)營團(tuán)隊(duì)面臨的關(guān)鍵問題和解決方案-南華中天
      

      五、孤立的方法增加了復(fù)雜性
      

      鑒于許多組織的復(fù)雜、多供應(yīng)商安全基礎(chǔ)設(shè)施,大多數(shù)安全團(tuán)隊(duì)發(fā)現(xiàn)很難快速、全面地響應(yīng)網(wǎng)絡(luò)攻擊,即使在確定攻擊后也是如此。要降低這種復(fù)雜性,整合和集成是關(guān)鍵。
      

      FortiNDR 產(chǎn)品與Fortinet Security Fabric的多個(gè)組件和第三方解決方案無縫集成,利用 AI 和 ML 的強(qiáng)大功能來改進(jìn)威脅的檢測(cè)、響應(yīng)和遏制。FortiNDR 與 FortiGate 集成,在啟動(dòng) FortiGate 上的內(nèi)部 IP 塊時(shí)發(fā)出異?;顒?dòng)警報(bào)。此外,F(xiàn)ortiNDR 攝取文件穿越防火墻進(jìn)行深度學(xué)習(xí)分析,以防止用戶下載惡意組件。此外,F(xiàn)ortiNDR 與FortiSOAR集成,以實(shí)現(xiàn)協(xié)調(diào)的跨產(chǎn)品響應(yīng)和更快的修復(fù)。
      

      成功部署 NDR 的注意事項(xiàng)
      

      這五個(gè)挑戰(zhàn)只是安全專業(yè)人員每天面臨的幾個(gè)例子,但在購買 NDR 解決方案時(shí),還有一些額外的注意事項(xiàng):
      

      1. 云環(huán)境的可見性:NDR 的強(qiáng)大功能是提供跨網(wǎng)絡(luò)的可見性和 AI/ML 分析,而不管底層基礎(chǔ)設(shè)施如何。您的解決方案應(yīng)該能夠分析公共云和私有云以及 IoT/OT 環(huán)境中的網(wǎng)絡(luò)流量。供應(yīng)商應(yīng)支持這些環(huán)境的任何配置,并為您的安全團(tuán)隊(duì)提供工具來調(diào)查和響應(yīng)混合網(wǎng)絡(luò)中的惡意行為。
      

      2. AI/ML 不是唯一的答案:雖然 AI/ML 功能是 NDR 吸引力的重要組成部分,但僅依賴 AI/ML 的工具往往會(huì)產(chǎn)生白噪聲。NDR 供應(yīng)商應(yīng)在其 AI/ML 方法與人工和實(shí)用分析之間取得平衡,以幫助減少誤報(bào)。
      

      3. 降低復(fù)雜性的集成:NDR 通常用作 EDR 和 SIEM 的補(bǔ)充技術(shù),應(yīng)該與這些解決方案雙向共享檢測(cè)和觀察結(jié)果,從而實(shí)現(xiàn)對(duì)已知和未知網(wǎng)絡(luò)威脅的早期檢測(cè)和協(xié)調(diào)響應(yīng)。