克雷格·哈伯(Craig Harber),现任Fidelis网络安全公司首席技术官,此前曾任美国国家安全局(NSA)及网络司令部(USCYBERCOM)高级技术官,在美国国防部(DOD)和情报界(IC)重大安全项目计划制定过程中产生过重大战略影响。
哈伯提出的基于威胁的网络安全策略——被称为NIPRNet/SIPRNet网络安全体系结构审查(NSCSAR),为国防部决策者提供了价值评估框架,帮助决策者客观地衡量网络安全投资预期价值。
哈伯是最早将“主动网络防御”概念输入到能力试验、商业产品改进、行业标准和运营解决方案的技术人员。他指导过美国全球信息网格(GIG)信息保障(Information Assurance,IA)体系结构搭建,强调IA对所有作战平台的重要性,促使国防部增加IA投资数十亿美元。
2020年1月7日,哈伯撰文称,在数字化转型过程中,越来越多的组织面临无法发现网络安全威胁的困境。他认为,通过对网络流量进行分析,可以有效探测和发现网络威胁。现将此文主要内容编译如下:
世界正在快速向数字化转型。越来越多的组织发现,他们并不具备预防、检测和应对现代网络威胁所需的自动化能力和水平。现代威胁比传统威胁更难发现并且不断推陈出新,充斥安全态势体系结构的方方面面。
在这种形势下,许多组织不得不采取被动的安全防御措施。如何从被动防御转为主动防御?这需要组织重新评估其安全策略,以便占据应对网络威胁的技术优势。网络流量分析正是这样一种解决方案,它是各级组织提高自身网络检测和响应能力的基础。通常,网络流量分析由安全运营中心(SOC)负责实施。
一、发现与评估
作为网络流量分析的前提,组织需要知道他们的安全堆栈有哪些,具备哪些功能,缺少哪些功能,哪些功能可以复用。如何进行功能评估?最简单的方法是参考有关威胁评估的框架,例如MITER ATT&CKTM框架或国防部的DoD CAR框架。这些框架能为组织提供决策支持工具,使组织能够全面了解其网络当前及未来所期望的功能和风险。
ATT&CK 是组织机构内不同部门间共享信息、协同工作和构建必要检测与响应流程的统一分类方法。MITRE ATT&CK 框架清晰地反映了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。运用 MITRE ATT&CK 中的攻击者行为通用分类,可以帮助网络事件响应团队 (CIRT)、安全运营中心 (SOC)、红蓝队、威胁猎手、IT 部门等安全团队,更好地测试、开发和排序其检测和响应机制,对公司的业务、行业和知识产权提供高效安全保障。
二、了解网络地形
网络地形不断变化,这意味着可见性也在不断变化。为了获得可见性,组织必须能够做到以下几点:一是不断发现、分类和评估资产,包括笔记本电脑、台式机、服务器、企业物联网、影子IT和旧系统;二是发现已识别资产上安装的所有软件;三是连续不断地进行漏洞评估,并对所有已安装的漏洞发布警告。
仅收集日志、事件和警报是不够的。实际上,如果执行不当,会严重损害组织的检测、搜寻和响应能力。过多的误报警会引起安全分析人员的警报疲劳。这种情况下,数据多并不是好事。最重要的是,要战略性地将网络流量分析传感器部署到整个地形上,以帮助您将正确的数据归零,保留有用数据,让可操作的高级机器学习分析。
三、威胁驱动的操作
如前所述,SOC团队将承担前所未有的重任,需要处理更多的警报,使用更多的工具。即使网络具有完全的可见性,面对庞大的威胁和警报,安全人员仍然无法应对这些挑战。为解决这个问题,组织需要转向以威胁驱动的操作,使用其新发现的地形可见性和威胁框架映射,主动地(例如严格绘制网络地形)进行威胁预测和追溯,这才是威胁检测和响应的最佳做法。
四、操作和自动化
任何数字化转型都离不开人工智能和机器学习技术,利用这些技术能够处理所有可用数据集,实现强大的数据驱动,从而大大减轻安全团队的负担,使其能够专注于自己的优先业务,了解网络中即将出现或发生的更严重威胁。
五、结论
传统的网络安全解决方案倾向于采用“一劳永逸”的方法。这种方法在捕获低级威胁时可能是有效的,但是无法探测到高级网络攻击。企业在制定网络安全解决方案时必须考虑,在与网络相关的时间内,如何持续保护、检测和响应所有威胁所需的综合功能。网络流量分析解决方案必须能够提高发现、识别和感知态势的能力,同时集成快速响应能力。要做到这一点,首先要取得安全堆栈控制权。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。