5项强效安全手段助力企业轻松应对供应链攻击
时间:2022-04-01 10:15:02 发布人:myadmin 来源:派拓网络 点击量:
Palo Alto Networks 首席执行官 Nikesh Arora 透露,得益于 Cortex XDR 的行为威胁防御功能,他们内部部署的 Cortex XDR 成功阻止了来自 SolarWinds Orion 服务器的 DNS 请求,从而使 Palo Alto Networks SOC 团队将此服务器隔离并启动调查。他们由此得出结论,在 Cortex XDR 的作用下,攻击并未得逞,没有数据遭受损坏,他们的基础架构安全性也得到了保障。
这种对威胁防御、检测和响应进行的关键集成,以及 Cortex XDR 使用机器学习和人工智能来自动集成端点、网络和云数据,使他们能够阻止这种前所未有的攻击。
随着供应链攻击的数量和规模不断增长,网络安全显然已经进入到一个资金充足、重点突出、纪律严明的打击国家级行动者的新时代,他们的目的是获取目标资产的访问权限、随着时间的推移保持持久性,并完成包括数据窃取在内的各项目标。攻击者愈发猖狂,每天都在变本加厉地决定发起更高级的攻击,同时利用云的规模和强大的自动化来发动传统技术和风险管理实践无法抵御的攻击。阻止这类复杂攻击活动需要采用新的方法和技术,这样才能走在攻击者的前面。
为应对下一次 SolarWinds 类型的攻击做好准备: 公司需要立即采取措施
由于许多企业仍在使用传统的安全解决方案,包括传统的防病毒 (AV) 技术、端点检测和响应以及其他安全技术,因此风险甚至会更大。随着大量低质量数据的涌入,许多分析师的应对策略是降低传感器的敏感度,或者干脆忽略一些警报,这必然会提高风险等级。许多没有上下文的警报被认为是误报,因为它们不足以成为开展调查的理由。然而,当把这些数据与从其他数据源中观察到的更多内容结合起来时,这些数据可能会成为了解来自其他良性活动的真正恶意意图的关键。
高效安全运营的未来在于使用有效集成并提供强大分析、机器学习和自动检测的安全工具取代传统、孤立的安全工具,从而加快响应时间,同时提高准确性。将正确的工具与相关的整合数据集成时,企业可以缩短响应时间,并通过丰富的详细信息获得事件的整体概况,从而更好地为调查提供信息。
那么,未来的发展方向是什么?公司和企业应该做些什么,才能做好准备以应对下一次供应链攻击以及不久的将来肯定会发生的不断演变的威胁?
不妨考虑采用以下五项措施,并了解每项措施将如何影响您的活动,内容涵盖从执行网络风险评估到制定更广泛的安全运营策略
01.了解攻击面
由于员工、合作伙伴和供应商在企业网络范围之外工作,因此企业面临着内部系统和数据遭到暴露和攻击的更大风险。可选择的应对方法包括执行渗透测试、漏洞扫描以及使用被称为攻击面管理的新兴技术。
攻击面管理 (ASM) 概述
SANS Technology Institute 定义的攻击面管理内容如下:“一类新兴解决方案,旨在通过提供企业攻击面的外部视角来帮助企业应对这一挑战...企业的攻击面由攻击者可以发现的所有可访问互联网的硬件、软件、SaaS 和云资产组成。简而言之,您的攻击面是所有外部资产,对手可以发现、攻击并使用这些资产在您的环境中站稳脚跟。”
SANS 列出了采用 ASM 解决方案的一些常见用例,包括:
• 识别可视性方面的外部缺口
• 发现未知资产和影子 IT
• 攻击面风险管理
• 基于风险的漏洞优先级划分
• M&A 及附属风险的评估
无论是选择部署 ASM 解决方案还是执行渗透测试或漏洞扫描,都需要确定产品和操作需求,以便确定最佳匹配,包括功能、特性、能力和评估标准。
02.防御所有威胁
当前市场上已经发现有许多值得注意的攻击会利用相当常见的攻击媒介,例如嵌入式恶意软件、网络钓鱼电子邮件和权限提升。因此,需要利用技术和最佳实践来防御所有威胁并将注意力集中在真正重要的事情上。
防御基础知识
• 大力投资以保护您的端点。
• 无论是部署在开发、质检还是“实时”生产环境中,请确保已集成安全解决方案。
• 使用复杂密码。
• 及时将安全软件更新到最新版本。定期安装补丁。
• 限制对受信任主机和网络的网络访问。
• 如果可能,请使用多因素身份认证 (MFA)。
• 配置您的垃圾邮件过滤器以实现最大的覆盖率。
许多违规行为的发生是由于人为错误、未打补丁的系统...等因素造成的。如您怀疑自己受到了威胁:
• 如果只有少数系统被感染,请立即将这些系统从您的内部网络断开(物理上),以防止和控制感染。
• 适当地在内部路由器、防火墙和其他网络设备上实施过滤器。
• 监控所有网络流量以应对可能的多方面攻击。
• 查看相应的日志文件以尝试确定第一个受感染的系统以及攻击媒介。
• 确定是否有任何受感染的系统成功连接到 Internet 上的任何站点以及暴露了哪些重要信息
SolarStorm 攻击在第 3 阶段被 Cortex XDR 拦截
使用 Cortex XDR,可以节省构建自己的全球端点安全基础架构的时间和成本。这种简化的部署不需要服务器许可、数据库或其他基础架构即可开始使用,能够帮助企业快速保护其端点。
03.获得最大可视性
通过对整个供应链中的数据采用统一的方法,企业可视性可以提供应用和基础架构的整体视图。可视性还可以包括来自端点、网络和云环境的遥测数据。而且,其必须关联这些数据源,以了解各个事件如何相互联系在一起,并根据情境确定特定行为是否可疑。
对于像 SolarWinds 这样的高级攻击,拥有完整的可视性能够让企业检测并阻止攻击生命周期的所有阶段(即使主机已经受到攻击)。如果攻击手段太过高明以至于绕过了您的预防措施,您需要能够检测攻击者实现其目标所需的入侵后活动。
04.迅速采取操作
一旦攻击者进入,规避初始检测并保持持久性对于“成功”实施攻击活动至关重要。作为 SolarWinds 漏洞背后的指定攻击者,SolarStorm 利用被盗凭据来访问云服务,还利用受到攻击的身份,通过 VPN 和远程访问工具 获取和维护对网络的访问。
为此,必须减少停留时间(或漏洞检测缺口)和后续的横向移动,以遏制、移除攻击并从攻击中恢复。除了潜在的声誉损害、违规罚款和关键业务数据丢失外,漏洞未被检测并得到遏制的时间越长,对经济产生的影响就越大。
安伯丁集团在他们的报告“量化网络威胁检测和响应中的时间价值”中指出,将停留时间限制为 7 天时,影响可降低 77%,如果缩短到 1 天,业务影响可以降低 96%。
“量化网络威胁检测和响应中的时间价值”
安伯丁集团,2016 年 2 月
除了立即响应攻击的重要性外,还要考虑攻击者扫描和定位潜在威胁载体的速度和频率。扫描技术的进步使攻击者能够快速、轻松地定位攻击载体,从而发现被遗弃、不良或配置错误的资产,这些资产可能成为泄密的后门。
在Palo Alto Networks的2021年Cortex Xpanse 攻击面威胁报告:全球领先企业在攻击面管理方面的经验教训中,概述了他们的关键发现,源自他们对世界上一些最大企业的面向公众的互联网攻击面的研究。从 1 月到 3 月,他们的团队对全球 50 家企业的 5000 万相关 IP 地址的扫描进行了监控,以了解攻击者识别易受攻击的系统并迅速利用这一点进行攻击的速度究竟有多快。
该研究的一些有趣要点包括:
• 攻击者从未停止尝试
• 攻击者转向新的漏洞
• 云涵盖了最关键的安全问题
05.融入零信任
零信任依赖于对尝试访问网络资源的每个人、每台设备或每个实体的严格验证和确认。主要目标是防止数据、应用和关键业务系统受到攻击和漏洞利用的成功攻破或损坏。
零信任原则旨在减少威胁环境中的暴露和未经授权的访问。它们已经过精心开发,旨在解决整个企业组织中关键应用和敏感数据的安全问题。这些原则很容易被纳入任何安全策略的一部分。其中一些原则包括:
• 最低权限策略 (PoLP)
• 微分段
• 多因素身份认证 (MFA
有助于促使零信任功能趋向成熟的推荐步骤包括:
• 监控所有活动并收集所有数据,而不仅仅是可疑事件。
• 通过分析和机器学习检测异常行为。
• 检测并阻止端点上的恶意行为。
• 使用主机防火墙进行分段访问。
• 通过设备控制监控和限制对未经授权的 USB 设备的访问。
• 协调安全控制。
一个没那么神秘的武器: Cortex XDR
Palo Alto Networks Cortex® XDR™ 是业界首个扩展检测和响应平台,它可以本地集成端点、网络和云数据以阻 止复杂的威胁,使用户能够从一个控制台中立即消除网络、端点和云威胁。只有 Cortex XDR 能够帮助安全团队:
• 使用跨网络、端点和云数据的行为分析,自动检测跨威胁载体的隐蔽攻击。
• 通过将来自多个端点和其他数据源的安全遥测和警报整合到一个揭示根本原因的事件中来缩短调查时间。
• 通过应用从调查中获得的知识来持续调整防御措施,以防止未来的威胁。
