您的公司网络和数据是相同的。保护网络中的宝贵资产需要分层。该策略通常称为深度防御,它提供了旨在防范攻击的多个级别的安全工具和策略。
然而,这些安全系统并不完美,而这正是威胁行为者决心利用的地方。在您的家中,您可能已将珠宝放入保险箱中,但如果保险箱没有上锁,任何人都可以进入。与您的 SOC 相同。如果您的防御系统存在漏洞,那么有人访问您的数据只是时间问题。
害怕打补丁
拥有一个能够涵盖所有类型攻击的最先进的安全系统固然很好,但您可能没有解决威胁行为者如何访问您的系统或他们正在寻找什么的问题。CardinalOps 网络防御战略副总裁 Phil Neray 在 Splunk 的 .conf23 活动中表示,对手不喜欢变化。根据Verizon 的数据泄露调查报告,被盗凭证和被利用的漏洞仍然是最流行的攻击媒介。
但是,如果公司内部的用户陷入网络钓鱼诈骗或忽略补丁更新,那么您的层有多坚固就不再重要了。威胁行为者会找到进入的方法。
为什么人们忽视补丁?他们担心在补丁和更新到位时系统缺乏可用性。
通过网络移动
人们倾向于从上到下或从左到右来考虑各个层次——如果你不能在 A 点阻止它们,那么就会在 B 点进行防御。但这往往忽略了威胁行为者在系统内的实际移动方式。根据攻击类型,他们会移动到任何看到漏洞的地方,而错过一层保护可能会削弱防御能力,例如对存储在防御良好的金库中的密码进行错过加密。
您的分层防御能力也取决于您检测异常或入侵的能力。Neray 提出了在查看分层防御中的检测质量时要问的四个问题:
- 您在哪里遗漏了检测?
- 检测是否损坏或噪音太大?
- 如何快速启动新检测?
- 您如何利用自动化?
Neray 表示,每次检测都应覆盖多个安全层,而不仅仅是一个位置。
拥抱复杂的防御
Neray 表示,您需要的不仅仅是层,而是基于组织特有威胁的威胁信息防御。一旦了解了要保护的内容以及这些资产的存储位置,您就可以构建保护层来防御这些威胁。