您的安全团队简介是什么?预防、检测或风险管理
并非所有的安全团队生来平等。每个组织都有不同的目标。
在网络安全领域,采取积极主动的方法不仅仅是一个流行语。事实上,这是保持在攻击者后面和领先他们之间的区别。而解决方案确实存在!
大多数攻击通过利用目标系统中的常见故障而成功。无论是新的还是未知的,已知的、未知的或甚至未知的攻击都会利用安全漏洞,例如
未修补或未标注的漏洞、错误配置、过期系统、过期证书、人为错误等。
由于攻击者依赖一系列自动攻击测试工具来扫描目标的攻击面并在其网络内传播,基于检测和响应的纯反应性防御姿态越来越可能被攻击所压倒。
逻辑战术行动是通过集成攻击模拟工具,预先模拟攻击者的TTP和行为,以持续验证整个攻击面的不可渗透性、安全控制的有效性以及访问管理和分段策略等。
由于网络攻击者在遇到挑战时通常会转移到下一个目标,已经实施了主动工具和流程的组织将受益两倍。普通的网络攻击者受到挫败和威慑,专门针对他们的攻击者必须更加努力地找到一条在网络中不被发现和进展不受阻碍的途径。
这些组织成熟、前瞻性的网络安全思维使他们在坚不可摧方面走在了前面。
实际上,可以从不同的角度来看待和集成攻击模拟工具,这些工具可以根据您的目标而变化,例如。
► 提高预防能力
当在BAS解决方案包中提供时,集成的即时威胁情报通过自动验证您的系统抵御此类新威胁的能力,并提供预防性建议,以填补可能被这些新威胁利用的任何未发现的安全漏洞,从而进一步提高对新威胁的抵御能力。
► 加强检测和应对
运行自动侦察攻击可以通过发现所有暴露的资产(包括长期被遗忘或秘密添加的阴影IT)来支持您的攻击面管理程序,同时将持续的外部-内部攻击模拟功能与您的SIEM/SOAR工具堆栈相集成,使其局限性和缺陷更加清晰。通过将模拟攻击的进程与检测到的攻击和停止的攻击的比例进行粒度比较,可以清楚、全面地了解检测和响应阵列的实际效果。
通过详细的安全漏洞和能力冗余图,通过实施推荐的工具配置修复程序和消除冗余工具来合理化工具堆栈,对检测和响应产生积极影响,并防止环境漂移。
一旦整合,这些能力也可用于运行内部事件响应演习,所需的准备工作最少,额外成本为零。
► 定制风险管理将安全验证纳入组织风险管理和GRC程序,并相应地提供持续的安全保证,可能需要一定程度的定制可用的现成攻击场景,以验证安全控制和内外攻击活动。
一个带有模板攻击和可模块化小部件的紫色团队框架,用于促进特定攻击映射,节省了红队数小时的繁重工作,最大限度地利用了内部红队,并加速了其业务扩展,而无需额外资源。
当从零内部对抗能力开始时,集成安全验证解决方案的建议进展是:
1 — 添加安全控制验证功能加强安全控制配置是防止在系统中获得初始立足点的攻击者通过网络传播的关键要素。它还提供了一些针对零日攻击的保护,以及一些利用错误配置或利用供应商默认配置中发现的安全漏洞的漏洞。
2 — 与SIEM/SOAR集成并验证SOC程序的有效性如上文“加强检测和响应”一节所述,将安全验证解决方案与SIEM/SOAR阵列集成可简化其效率并提高安全性。生成的数据还可用于优化SOC的人员和流程方面,确保团队的时间集中在具有最大影响的任务上,而不是将其最佳精力投入到保护低价值资产上。
3 — 优先补救实施步骤1和2中收集的数据中包含的补救指南应与攻击可能性和与每个未发现的安全漏洞相关的影响因素相关联。将模拟攻击的结果整合到漏洞优先级排序过程中,是简化过程和最大化每个缓解措施的积极影响的关键
4 — 验证细分政策和卫生的执行情况
运行端到端攻击场景可以映射攻击路线,并确定分段间隙允许攻击者通过网络传播并实现其目标的位置。
5 — 评估总体违约可行性
运行侦察和端到端的内外攻击活动,以验证网络攻击者如何在您的环境中前进,从获取访问权限一直到取出王冠宝石。
通常,具有前瞻性思维的组织已经试图通过采取积极主动的网络安全方法来控制自己的命运,在这种方法中,他们利用漏洞和攻击模拟以及攻击面管理来提前识别漏洞。通常,他们会以预防为目标开始旅程;确保他们对所有安全控制进行微调,并最大限度地提高其针对已知和即时威胁的有效性。下一步将是运行SOC和事件响应演习,以确保没有任何东西未被发现,进而进行漏洞修补优先级排序。
拥有大量资源的大多数成熟企业也对自动化、定制和扩大其红色团队活动感兴趣。
底线是,当您考虑合并持续威胁暴露管理计划时,您可能会找到许多不同的点解决方案,但最终,无论每个团队的特定目标如何,就像在现实生活中一样,最好找到一个可以与您一起扩大规模的合作伙伴。