综合威胁管理简易操作手册

精品文档word可编辑

最

新

网

络

安

全

仔与

综合威胁管理简易操作手册

anEcl010/2017-12-ll09:23:00/浏览数3260技术文章技术文堂15(0)踩⑻

IntegratedThreatManagementForDummies(琮合威胁管理)

byPeterGregor/

1当前的威胁场景

威胁发展

年龄大一点的安全专家会记得那个防火墙和反病者软件就可以阻挡大多数攻击的时代，现在出现了越来越多的威胁和攻击.每年有成年上万的新的恶意软件变种.现在可能每

变异的恶意软件

一般来说,以基于爰名的反病由软件作为主要防御方式的时代已经过去了。而依赖役名来是识别和阻止病由、蛇虫、木马的反病由软件对于今天的经过变异的恶意软件来说是

内部威胁

当安全专家讨论内部威胁时,他们讨论的实际上是整个潜在的有害活动.许多人会以为这只包括一些恶意的职员,但是内部威胁远不止这些，如今内部威胁的籁念包括：

无意的错误，职员无意间点击了他们不应该点击的东西(垃圾邮件)，发送邮件给不应该收到的接受者。

判断失误。职员重用函码、存储能私信息到个人云,在浏览器上安奘工具插件等。

狭乏培训。职员收到了存信敏感信息的新办法.但是他们可能不理解如何去具体的应用。书时这会让隐私数据和系统处于危险中。

恶意职员。一些职员可能觉得资金要被解雇了.他们就会下教所有的客户数据和获奖或目源代码,开发人员还可能会植入时间炸弹来在将来的某个时间破坏重要数据。

恶意戚胁很戏阻止,主要是因为信息系统只做告诉做的事情，而不会考虑公司的政策和用于的意图.所有好的计划都可以被误用或者潴用来达到某些恶意意图,

逐渐消失的网络边界

管有一段时间,用户可以通过防火堵来保护内部网络.随石互联网的发展，用户和商业伙伴可以访问内部和外部系统,职员的笔记本电脑从世界各地连接到公司网络.企业也

云迁徙

许多企业已经不在购美硬件来在自己的数据中心安装商业应用了。企业正在逐渐迁徙到云端,他们从IBMSoftlayerAmazonWebServices.Microsoft

Azure这样的laas租了基于云的应用和收件系统.迁徙到云上给企业带来7■巨大的经济效应但是很少有企业考虑这种迁徙带来的威胁和风数.企业组织假定云提晒为他们

在工作中使用自己的设备

APP拒这样的公司满足了我们对更好的终端设备的需求.比如MacBook

Ak箔记本、iPads和iPhones等。人们会带着这样的设备去公司并迂接到企业内部网络，大多数的n"是不能阻止他们的.尤其是当高管说我们要杷我的iPad连接到内部网络时

新的技术发展让非IT的职员在不告知IT部门的情况下.做任何想做的事情;这可能在一些方面对企业是有好处的.而带来的潜在风险也是很多，许多的曲务人士在工作中选择

APT

AdvancedPersistentThreats

(APTS)已经是一种高级持续性攻击,特定的组织和个人可以用来攻击其他单元达到窃取用户数据、破坏数据或者信息系统的目的.APT包含许多的攻击工具和技术,攻击者用

数据泄露

U.S.医疗保险提供商

2015年初.一人大的US医疗保险商报告说8千万市民的个人信息可能被窃了。窃取这些数据的方法并没有公开.但是应该是通过杓鱼攻击或水坑攻击发起的一个简单的恶意软

U.S.零售商

该公司的数据池露导致超过1亿客户的信用卡数据被窃，这些客户都在2013年底在商店用信用卡进行过支付，窃取明文信用卡号的恶意软件被植入到收款终端中.仝业有检测

U.S.医疗提供商

Kentucky的一家医院发布过一份声明说,医院的服务器感染了勒索软件。在系统恢复上线前，医疗电子记录无法让问。

计算机和网络安全提供商

虽然是一家安全提供商,但这家公司在2011年被黑。目标是这家公司的双因素认证产品,所以入侵者能够尝试用产品自带的远程访问认证来入侵公司的网络,攻击是从发送给

2防御复杂攻击

攻击预防

攻击预防是手动的.但是预防并不是可选的,愿意在信息系统上进行投资来支持商业过程的企业.必须同时在培训员工和获取工具上进行投资，来帮助保护他们的系统.

攻击预防的原则

囚为存在不同的攻击方法,所以会书不同的方法来预防这些攻击的发生，在了解攻击和预防技术技术之前.我们首先要理解攻击预防的原则。

如果深入思考这些原则,你可能会得到和大多数安全专家同样的结论网络斗争是不公平的.表中的原则几乎不可能实现,很明显.在这场斗争中.攻击者是由优挎的.当防

攻击防御实践

当你觉得自己处于劣后的时候,你可以做一些努力：

漏洞管理：必要的商业实践含有许多识冽漏洞、使用漏洞数据反馈、对系统打补丁的活动。这对戒少漏洞利用有一定的帮助.也能让攻击者访问目标系统变难。

补丁管理.这包括熟取可用补丁信息和通过简历的变化管理U在来优化和应用潮洞补丁。

系统硬化这是紧缩系统和组件配苴的实践，移除非必要的模块和工具,移除韭必要的用户账户。这些技术记录在系统和组件硬化标准中.应该包含在应用到企业的新笔

权限减小版少管理和普通用户的权限到工作圾。这可以限制攻击者接管眯户后的能力范围，

供给面减少：通过从环境中移除对功能没有重要影响的组件和系统来预防攻击.这可以成少潜在攻击目标的数1B,也减少了攻击者入侵企业的入口点。

安全意识培训这是对提施用户进行抵抗社会工程学攻击的实践,比如强密码、遵循安全策略和步骤、限制对敏感和感要信息的使用和传播这样的安全实践.

网络入侵防彻

网络入侵防御是使用工具和技术来帮助检测和拦截基于网络的攻击的安全实践。因为网络是攻击者进行侦查、发起攻击、窃取敏感数据的方式，所以使用一些检测和拦截基于

预防网络入侵的基本攻击是IPS也叫做NIPS,IPS和NIPS书所不同，IPS是基于主机的入侵防御系统（HIPS）,而NIPS是基于网络的入侵防御系统，文中的IPS既可以指代NIP

»3连接内外网.检查进入和外出的网络流・.并与预设的规则进行比较.来决定接受、还是拦截数据包。图2-1是企业中IPS的描述，当包被拦截后.I”就创建一条日志记录

终端恶意软件保护

黑客在攻击中会使用一些技术来避免被检测到，使用这些避免被检测到的技术.黑客不仅可以入侵企业还可以在几个月内不被检测到，在网络中建立落脚点是很琐碎的.经常

为了应对该威胁许多厂商已经从基于种态签名的检测机制转移到下一代基于行为的的检测机制.更多的关注攻击者活动的模式,而不是和攻击者相关的某个事件、文件和IP

3检测基础设施中的威胁

理解威胁检测的原则

如果有人尝试去入侵你的环境,需要注意一个或更多的系统或网络组件。他们注意的东西可能刚开始不是威胁，但这可能是入侵的信号。下面是的威胁检测的更要和时效性原

尽可能收集所有的安全数据。应该记录发土在力储、处理、传敏感数据的每个系统和设备上的军安信息：离较攻击可以关闭日志、坑辑日志、世王删除日志,因此收集

存储安全事件数据到统一的数据库。有所有设笛的登录日志当然很好,可是当这些数据敞布在整个企业的不同服务器上,当你想要查看时，就会比较麻烦.甚至日志数据

保护日志数据..收集日志数次的目的是囚为攻击系统的人会想要擦倬他入侵的记录,因此这会让中央登录系统变成第二个攻击目标，日志存储的设备和系统必须要正确的

生成有意义事件的告警消息。最小的系统每天也能生成M单位的日志数据.大一点的系统抵天可以生成上G的日志。这么大♦的日志数据,人们很难从中寻找到跋助，集中

遵循*应〃骐。对于每种可能生成的告警.工作人员都需要知道他们应该采取什么样的行动,响应流程应该是书面性的.而且应该进行检查和实践”

记录对于戚胁告警的响应.当告警产生以后，对于该告警消息产生的响应应该进行记录.这包括采取的措施、时间、以及执行的人.

松去重要事件.重要事件需要进行复2E,讨论事件的原因，和应对这种事件的所应该采取的变化,以及喻应的有效性。

威胁检测并不只是技术向震，同时需要有正确的商业过程和步骤.对员工进行教育让他们知道如何使用工具和做响应的决定，

威胁情报定义

企业威胁情报的定义是:

上下文相关、基于证据的知识、融入到平台和工具中,能很快和正确的解决个人、企业所面临的威胁的生态系统或标准化的资产.

如果企业想要接近实时地对安全事件进行回应.那么企业就特要威胁情报。但是想要威胁情报作为一种有价值的商业过程并不简单：安全产业并没有在威胁情报的最优管理上

威胁情报的源分为以下三类：

目标情报.这包括威胁单元和他们所用的技术以及c&c基N设施的信息.也可能包含目标行业和伤害若的信息“

黑意软件情报。包括已知恶意软件和技术、目标漏洞、被逆向的愿意软件的信息.

名声情报.已知的恶意户地址、域名和URL的信息.

威胁可见性

威胁数据的内部来源

你发现安全事件的主要来源可能是日志数据收集。企业的集中化的日志收集和事件检测应该包含以下的日志源

■防火墙

路由器和交换机

■IPS

网络流系统

Web过滤器

Datalossprevention数据丢失预防系统

邮件服务器和垃圾邮件过滤器

服务器、数据库管理系统和应用

■终端

物理安全系统

环境控制系统

■代理

无线AP

■漏洞扫描工具

网络上存储、处理、传递敏感数据的设备都应该记录曰志到集中的曰志管理系统中.

威胁数据的外部来源

企业要在边界外寻找威胁情报数据采使他们能对潸在刚协进行哂应.这包括威胁数据的技术源和策略源.首先看一下技术源:

厂商安全建议“成熟的哽件和软件厂商会公布公司产品的安全建议来向客户发出威胁和解决方案的告警消息.

开源安全建议。一些安全研究团队和公司会公布一些威胁信息。这些建议的发布时间会比厂海的运议更早一些，

法律实施和新向媒体。美国国土安全部这样的法律实施组织会向公众和可信方发布建议.

商业解决方案。IBMXforce也会威胁情报提供源.

处理威胁数据

之前说过要把分散在不同位置的日志数据集中在一起，但这不只是存储GB/PB级的日志数据。还需要对这些数据进行实时分析，及时识别威胁,让工作人员可以及时哨应和阻

图3QRadar主界面

异常检测

一个检测威胁的有效方法是能够在系统和网络中检测异常，这是通过长期观察系统行为和网络流量进行的.这也是一个基线。当系统或网络中出现没有出现过的任何事(异常

异常检测有三个主要的组件：

用户一点用和的抿剖析

■阀值

■季节性

异常可以通过自动化的规则和特定的查找规则发现。姑本点是通过用户行为的明显变化、应用的违接数、数据量等来识别。

4威胁响应

响应安全事件

响应步骤

1、检测

在这一阶段意设到安全事件的存在,这可能耒源于SIEM(securityInformationandeventmanagement)平台或者外部厂商发布的警告或通知.

2、分析

通过研究事件的线索来证明它的合理性，还要看是否和一些!§兆信息相关。分析师可能需要做进一步测送、收集额外的信息来建立一个更加完整的事件画面。

3、优先级

在事件分析的过程中,专业技术人员会迅速理解事件对组织继续处理能力的影洎,也就是对重要信息的机密性和完整性的影响。龙事件评定优先级可以希助管理人员理解随后

4、通知

事件咕应需要通过在组织中通知合理的人员。组织需要通知外部的第三方，比如客户、商业伙伴、管理者、法律执行者和公众等.决定通知的范围掌樨在高管手中.

5、遏制和取证

事件洎应者和可能参与的其他工作人员开始采取措旅来停止该事件,包括短期的改变来停止该事件。同时,鬲要迸行取证工作的证据采集.

6、恢复

事件靖应者移筌恶意软件、重建系统、各份恢复、系坟补丁分发、采取响应的措施防止同样的事件再次发生。

7、事件回看

事后回在的目的是松查事件检测开始的步骤和事件响应.这帮助找出事件检测和响应的不同方面,改弱系统、工具、过程和员工培训的机会.目的是为了防止再次发生和改菩

培训

这种事件并不会经常在大多数组织中发生.所以事件哨应者可能不熟悉这些过程.为了让事件响应者更熟悉哂应的过程,需要进行下面的过程

培训：有经聆的应急响应专家（老师）进行过程的培训。

实践：模拟真文的事件,让培训的经验更加真实、记得也更加深刻。

建议的培训周期是每年一次。

自动修复

IBMBigFix这样的工具可以可以对高级威胁和漏洞在分钟级上进行响应.与IBMResilient工具配合使用,可以帮助减小数据泄露和攻击带来的伤吉，

寻求外援

尽管是最好的规划、最好的安全响应步骤、工具和培训,企业需要外部对于安全事件提供帮助.比如税惠信息和知识产权的窃取：IBM

Xforce应急响应和情报服务中心就是这样的外部帮助.可以为公司提供安全应急响应.帮助其管理安全事件、执行取证、修复温涧、改善安全策珞、步骤和操作，

持续改善

与IT、安全和质急响应相关的所有东西.企业都应该采取持续改善的方法，对安全应急响应来说.就是：

至少每年检查一次过程文档，寻找可以改善的地方。

检查现有的工具和工具所只备的能力.来寻找加快应急检测、响应和修复的机会.

检查事件来寻找改善响应过程的机会.通过改变系统和过程又帮助减少事件发生的可能性和带来的响应。

必须在实践中对步骤进行实践,来庭保有效住，

改芒有许多的形式,包括技术先进性,步骤文件中额外的细节、工业标准的更新、更好的应急响应和取证工具.更多更好的员工培训。

网络取证

除非入侵者走入办公室或数据中心去饰电脑或电子媒体.一般来说,攻击者会使用企业的网络来进行监控、攻击目标系统和窗取数据,因为入侵者会使用企业的网络来窃取企

监控

每个企业都会有需要逸守的法律、规章和标准，一些是企业必须监控的.包括

遵循情况。法律和工业标准强制执行对数据保存、传输等过程的安全需求。

反恶意软件状态和恶意软件感染,记录所有恶意软件尝试感染系统、改变行为的行为.还有终端和服务器上反恶意软件软件的健康状态，

防火墙规则的例外,通过配置防火墙来记录外部和内部违法安全策略发送流量的尝试，一些事件表明即将到来和正在进行的安全事件需要及时的响应。

IPS告警.1巧的告警消息大多是网络侦查的暗示，这是燮试入侵组织或入侵已经发生的标志”

无效尝试特权账户的登录.内部或外部的人会尝试登录网络设备、服务器、终潴和应用上的特权帐号来窃取信息或破坏操作.

对系统和设备非授权的改变.内部和外部的人员可能会对系统和设备进行非授权的改变.对内部人员来说,对内部人员来说,有时候是由于粗心,有时候就是烝意的.

应用和应用配置的非授权修改。攻击者可能会尝试对应用和配置进行非授权的修改,有时候是因为管理不善的原因.但是有时是将组织的钱和也感数据进行分割的方案的

尝试绕过认证机制。入侵者有很多不同的技巧来欺骑系统和设备让他们在不提供登录凭证的情况下盘录。

要试改变或限制活动日志，如果入侵者能够通过改变活动能够日志的方式艰除他的记录,那就会让事件检测和取证变得更难，

凳试访问数据中心等敏感区域.迸入敏感区域窃取组件、备管集体、笔记本、服务器.

哲理不若等会造成很多的安全除患,所以大多数的组织需要执行监控来桧测这些活动.

5安全操作和响应

安全供应商生态

很多企业从不同的生产商处购买安全工具却没有考电这些安全工具如何协同的问题.即使企业在每种工具里选择了最好的,结果也可能是这些工具在解决有些问题上有田叠

Security就提供了这样的安全生态环境“

完整的威胁管理

IBMSecurityOperationsandResponse架构能够帮助企业应该大多数高级和潜在威胁；IBMX-Force

Exchange是一个基于云的威胁情报分享平台,该平台的威胁情报型分钟更新一次。

战胜持续的复杂威胁需要三步策略.分别是

预防。利用攻击来帮助预防攻击。这些工具包括基于网络的和基于终端的保护工具。

检测。因为不可能预防所有攻击,或许已经网络中已经有了恶意软件，所以枪窝是很关键的一步。检测到攻击之后.需要很快地进行响应。

项应。企业需要工具,也要知道如何迅速有效地迸行响应。

SIEM安全信息和事件管理系统

预防、检测、曲响应都需要对综合数据的访问，安全信怠和事件管理(SIEM)系统是威胁管理环境的核心。SIEM需要从不同的系统和设备收集登录数据.然后执行实时分析

通信协议

对于系统间的电子传递的威胁信息，已经有了很多标毒。这些标准让企业更加容易地将隔阙的点产1s融合到威胁管理系统中去。

6综合威胁管理的十大技术

下面是十大有效响应威胁的技术：

ExposureAnalysis漏洞分析

理解每个漏洞和威胁的含义和对企业带来的影响是非常有必要的，所以分析师需要琬定每个漏洞和威胁的风险.芥断出每个漏河的事件场景，还需要理解可能的应急场毋的种

PrioritizeRisk风险评级

每个威胁都有发生的可能性,会对企业带来一定的影响，每个漏涧都有被利用的可能性.也有漏洞被利用的影响，每个事件也会