運維工程師如何快速防止網(wǎng)絡(luò)攻擊?
發(fā)布時間:2021-06-04 16:18:42 已幫助:88人 來源:成都達內(nèi)教育
運維工程師如何快速防止網(wǎng)絡(luò)攻擊?
威脅搜尋旨在發(fā)現(xiàn)異常活動,否則可能會對您的公司造成嚴重損害。了解您環(huán)境中的正常活動是理解非正常活動的先決條件。如果您了解正常的操作活動,那么任何異常都應(yīng)該突出并注意到。
因此,獵人應(yīng)該花費大量時間來了解他們環(huán)境中的正常和日常事件。此外,分析師必須了解包括系統(tǒng),應(yīng)用程序和網(wǎng)絡(luò)在內(nèi)的完整體系結(jié)構(gòu),以便他們能夠發(fā)現(xiàn)可能為攻擊者提供機會的弱點和漏洞。
此外,與IT內(nèi)外的關(guān)鍵人員建立關(guān)系至關(guān)重要。事實上,這些人可以幫助威脅獵人區(qū)分異常活動和正常活動。例如,威脅獵手發(fā)現(xiàn)的每個問題并不總是攻擊。相反,它可能只是一種不安全的做法。為了改善組織的安全態(tài)勢,威脅獵人必須充當有效的“變革推動者”,如果沒有與他人的信任關(guān)系,這是不可能的。
2、想象一下你是一個攻擊者
一個好的威脅搜尋練習要求威脅獵人像攻擊者一樣思考。通常情況下,威脅獵手的任務(wù)是主動追擊對手,并結(jié)束入侵的可能性。但是,如果發(fā)生了攻擊,他們需要減輕其影響以減少傷害。但是,總是尋找入侵的跡象并不是一個很好的方法。相反,威脅獵手應(yīng)該努力預測攻擊者的下一步行動。
一旦威脅獵人知道攻擊者可能會做什么,他們應(yīng)該設(shè)置一些觸發(fā)器,一旦攻擊者執(zhí)行此移動就應(yīng)該觸發(fā)。CB Response等工具可用于確定攻擊者的行動。
請記住:沒有任何組織總是擁有完美且難以理解的安全措施,而且攻擊者現(xiàn)在使用非常復雜的技術(shù)來繞過公司的監(jiān)控工具和大多數(shù)安全措施。因此,威脅獵人應(yīng)該超越對手的期望,以防止攻擊成為主要的噩夢。
3、制定OODA戰(zhàn)略
OODA是Observe,Orient,Decide和Act的縮寫。軍事人員在進行戰(zhàn)斗行動時應(yīng)用OODA。同樣,威脅獵人在網(wǎng)絡(luò)戰(zhàn)期間使用OODA。在威脅搜尋的背景下,OODA的原理如下:
觀察:階段涉及從端點進行常規(guī)數(shù)據(jù)收集
Orient:徹底了解收集的數(shù)據(jù),并將此信息與其他收集的信息相結(jié)合,以幫助理解其含義。之后,分析是否發(fā)生了對流量的命令和控制(C&;C)的標志或檢測到任何攻擊跡象
決定:一旦分析了信息,就需要確定行動方案。如果事件發(fā)生,威脅獵手將執(zhí)行事件響應(yīng)策略
行動:最后階段涉及執(zhí)行計劃以結(jié)束入侵并增強公司的安全態(tài)勢。采取進一步措施以防止將來發(fā)生同類型的攻擊
4、使用足夠的資源
威脅狩獵被認為是當今的安全解決方案之一。但是,投入足夠的資源,包括人員,系統(tǒng)和工具,對于有效地進行威脅搜尋是不可或缺的。
人員是指威脅獵手,他們必須具備操作系統(tǒng)(OS)和子系統(tǒng)的深入知識,例如應(yīng)用程序服務(wù)器,Web服務(wù)器,數(shù)據(jù)庫服務(wù)器,數(shù)據(jù)庫管理系統(tǒng),更重要的是網(wǎng)絡(luò),Wi-Fi系統(tǒng)和Internet公網(wǎng)。了解CB響應(yīng)工具也很有幫助。
5、保護所有端點
端點安全是客戶端/服務(wù)器信息安全方法,用于通過監(jiān)視端點(網(wǎng)絡(luò)設(shè)備),其活動,軟件,身份驗證和授權(quán)來保護公司的網(wǎng)絡(luò)。保護所有端點至關(guān)重要,因為疏忽可能會給對手留下空白點。通常,除了位于每個端點上的客戶端安全軟件之外,還通過安裝在網(wǎng)絡(luò)中集中管理的服務(wù)器或網(wǎng)關(guān)上的安全軟件來確保端點安全性。
僅使用防病毒程序無法阻止高級持久性威脅(APT)。因此,組織也應(yīng)該部署端點保護解決方案,例如CB Response或Comodo端點保護軟件。
6、網(wǎng)絡(luò)可見性是關(guān)鍵
除了在所有端點上部署威脅搜索工具之外,還必須深入了解網(wǎng)絡(luò)環(huán)境中的攻擊模式和活動。您可以通過使用允許您具有網(wǎng)絡(luò)可見性的其他工具來實現(xiàn)此目的。
在您設(shè)置高級端點工具時,還應(yīng)使用入侵檢測系統(tǒng)(IDS),入侵防御系統(tǒng)(IPS),NetFlow,Web過濾器,防火墻和數(shù)據(jù)丟失防護系統(tǒng)(DLP)等工具。通過這種方式,您可以驗證攻擊并收集有關(guān)可能表示違規(guī)的異常流量模式的寶貴知識。
7、記住威脅狩獵的人
威脅搜尋的一個關(guān)鍵部分是與公司的主要IT人員進行有效和高效的溝通。這意味著威脅獵人應(yīng)該以不同的方式與端點工程師,應(yīng)用程序開發(fā)人員,服務(wù)臺和系統(tǒng)工程師協(xié)同。威脅獵人實際上需要與他們進行有效溝通,以便了解關(guān)鍵系統(tǒng)和應(yīng)用程序的操作。在搜索敵人時,獵人會發(fā)現(xiàn)網(wǎng)絡(luò),系統(tǒng)和應(yīng)用程序的設(shè)計和實施中的漏洞。
威脅獵手和關(guān)鍵IT人員之間的信任關(guān)系是不可或缺的。最重要的是,在響應(yīng)事件時,您需要他們的協(xié)作。只有通過確保相互信任,您才能夠在環(huán)境中的弱點和漏洞面前一起正確診斷惡意活動并執(zhí)行補救。
8、記錄你的狩獵記錄
優(yōu)秀的威脅獵手不僅試圖遏制或消除惡意入侵,還記錄他們在IT環(huán)境中執(zhí)行的每一次威脅搜索。您不僅需要詳細說明每個案例的技術(shù)信息,更重要的是,您需要記錄與公司相關(guān)的業(yè)務(wù)知識,例如,尋找原因。
但如果沒有合理收集數(shù)據(jù),好的文檔就不值得。必須選擇一種可以幫助您組織威脅搜尋活動的工具,以便在您懷疑反復入侵并與其他方分享知識時重新審視您的步驟。可用于組織數(shù)據(jù)的工具可能包括報告工具,分析工具甚至Microsoft Excel。
9、保持刀鋒鋒利
即使的武器也會生銹,除非它得到照顧。為了有效地開展,威脅獵人需要做好準備,并始終對可疑活動保持警惕。由于網(wǎng)絡(luò)犯罪分子正在尋找數(shù)十種新方法來滲透安全系統(tǒng),因此威脅獵手需要不斷學習和發(fā)展他們的技能,以便讓自己能夠應(yīng)對挑戰(zhàn)。
10、及時了解現(xiàn)代攻擊趨勢
在不斷發(fā)展的技術(shù)世界中,威脅行為者每天都在開發(fā)新的攻擊。網(wǎng)絡(luò)犯罪分子具有創(chuàng)造性,他們正在利用這種創(chuàng)造力不斷發(fā)明新的犯罪方法。威脅獵人需要跟上不斷變化的網(wǎng)絡(luò)攻擊格局。
在不久的將來,他們將會為他們做很多。根據(jù)Alert Logic 2018年的威脅搜索報告,安全專家將55%的高級威脅檢測作為其安全運營中心(SOC)的首要挑戰(zhàn)。此外,43%的安保人員缺乏足夠的技能來緩解這些威脅。此外,36%的自動化工具嚴重缺乏威脅性能力。為了防止入侵,威脅獵人必須自己掌握現(xiàn)代威脅形勢和犯罪分子發(fā)現(xiàn)進行攻擊的復雜技術(shù)。
成都PHP開發(fā)課程
成都Linux培訓課程
成都嵌入式開發(fā)課程
成都軟件測試課程
成都C/C++開發(fā)課程