预防、跟踪和应对网络威胁
学习目标
完成本单元后,您将能够:
- 描述威胁智能团队的责任。
- 列出预防、检测和响应网络威胁所需的重要技能。
通过威胁智能团队管理网络威胁
网络犯罪分子在不断改进他们的攻击方法,以躲避安全团队的围追堵截。然而,埃森哲最近的一份报告发现,平均而言,组织能够阻止 87% 的攻击。成功防止漏洞需要一个能够快速识别新攻击媒介、检测新威胁技术并应对不断变化的威胁环境的安全团队。
为了有效地检测新的威胁,组织必须使用各种来源和新颖的检测技术。如今的组织越来越依赖机器学习和人工智能技术来识别异常行为,检测和防止以前没有的零日攻击。他们使用的检测系统可以获取各种威胁情报和操作数据,运行回归和分析,并产生高保真信号,指示异常情况,以供进一步调查。
除了使用机器学习进行威胁检测外,强大的威胁情报团队还主动在组织的基础架构中搜寻恶意活动。此外,他们还会在互联网、社交媒体和暗网中搜索被盗的关键高管和业务运营的数据和信息,这些数据和信息可能被用于社会工程、鱼叉式网络钓鱼或诈骗。作为一种资源,Mitre-Att&ck 框架提供了对手常用战术的相关信息。
预防、检测和响应网络威胁
问题不是是否会发生,而是什么时候会发生重大泄漏。精明的组织会开发一种稳健的、基于风险的方法来衡量风险并应对网络攻击,该方法通过以下三个维度来适应业务环境:
- 实现服务的人员和组织
- 有效管理的流程和程序
- 将获得和实施的技术
大型组织通常雇佣内部网络安全专家来管理一些复杂的服务(包括渗透测试、安全操作中心、威胁搜索等)。小型企业通常将这些服务外包给托管安全服务提供商。在考虑外包安全服务时,精明的企业会进行尽职调查,与信誉良好的服务提供商接触,并制定详细的服务级别协议。
在管理网络威胁时,三管齐下的方法可以帮助减轻企业的风险。
-
预防。从组织的安全策略和意识到技术团队使用的实际访问控制技术,遏制策略必须不断发展。
-
检测。选择和部署适当的控制措施,及时发现入侵问题并做出通知至关重要。强大的组织会监控关键资产。
-
响应。没有响应的检测是没有意义的。高效的组织会及时响应安全事件,以减轻对业务的影响。
总结
在本单元中,您了解了如何预防、检测和应对网络威胁的一些信息。您了解了精明的组织在利用威胁智能团队、检测异常活动以及计划应对事件方面采取的行动步骤。接下来,我们来了解组织如何通过制定危机管理计划来进一步为事件做好准备。
资源
