普普安全資訊一周概覽(0521-0527)

作者:

時間:
2022-05-27
LOOK
01
企業(yè)安全運(yùn)營自動化(SOAR)應(yīng)用指南
普普安全資訊一周概覽(0521-0527)


當(dāng)前,企業(yè)組織面臨越來越多的網(wǎng)絡(luò)安全威脅,在資源和專業(yè)人才有限的情況下,借助新一代安全技術(shù)實現(xiàn)企業(yè)安全運(yùn)營工作自動化成為企業(yè)的必然選擇。SOAR(安全編排自動化與響應(yīng))技術(shù)因其在安全自動化響應(yīng)方面獨具優(yōu)勢,能夠幫助企業(yè)解決安全事件響應(yīng)過程中人員短缺、改進(jìn)警報分類質(zhì)量和速度等問題,受到更多企業(yè)用戶的關(guān)注。

從實戰(zhàn)角度看,SOAR 有三個核心思想:一是安全分析處置經(jīng)驗總結(jié)固化重用;二是安全分析處置操作盡可能自動化;三是 SIEM、安管、態(tài)勢感知等產(chǎn)品的能力延伸。SOAR 建設(shè)不是一蹴而就的,按照經(jīng)驗其合理的推進(jìn)過程為:首先,建立 SIEM、安管、態(tài)勢感知等平臺,匯聚安全數(shù)據(jù),建立專業(yè)安全運(yùn)營團(tuán)隊,實現(xiàn)安全數(shù)據(jù)集中化研判分析;其次,建立 SOAR 平臺,將安全運(yùn)營團(tuán)隊中最常開展的研判分析任務(wù)固化為劇本,開展自動化輔助研判;最后,完善 SOAR 劇本庫,根據(jù)大部分安全運(yùn)營團(tuán)隊工作,梳理可固化的劇本,接入所需聯(lián)動對象,提升完善 SOAR 劇本庫,最大化地開展自動化運(yùn)營。

{
普普點評

}

SOAR 的本質(zhì)是通過安全編排、自動化與響應(yīng)技術(shù)將安全運(yùn)營相關(guān)的人、技術(shù)和流程進(jìn)行整合,有序處理多源異構(gòu)數(shù)據(jù),持續(xù)進(jìn)行安全告警分診與調(diào)查、攻擊分析、威脅處置、事件響應(yīng),衡量并改善安全運(yùn)營效率、簡化安全運(yùn)營管理、為安全團(tuán)隊賦能。其短期目標(biāo)是實現(xiàn)手動任務(wù)和重復(fù)性任務(wù)的自動化,縮短威脅的補(bǔ)救時間,長期目標(biāo)是從綜合安全運(yùn)營視角找到可以量化、標(biāo)準(zhǔn)化的抓手去提升安全運(yùn)營成熟度。


LOOK
02
企業(yè)如何建立強(qiáng)大的內(nèi)部威脅計劃
普普安全資訊一周概覽(0521-0527)

調(diào)研機(jī)構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報告中指出,只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專門的內(nèi)部威脅計劃,25%企業(yè)則將支出用于防范外部威脅。內(nèi)部威脅計劃協(xié)調(diào)不同業(yè)務(wù)部門的政策、程序和流程,以應(yīng)對內(nèi)部威脅。它被廣泛認(rèn)為對緩解內(nèi)部威脅至關(guān)重要,企業(yè)該如何開始構(gòu)建內(nèi)部威脅計劃呢?

首先,企業(yè)需要專門的工作組來幫助指導(dǎo)內(nèi)部威脅計劃。工作組成員需要有明確的角色和責(zé)任,并采用同一套道德準(zhǔn)則或簽署保密協(xié)議。這是因為有許多與員工隱私和監(jiān)控相關(guān)的法律,以及在制定和執(zhí)行政策時必須考慮的法律和擔(dān)憂。工作組的第一項工作將是制定運(yùn)營計劃,并制定防范內(nèi)部威脅政策的高級版本。然后,他們需要考慮如何盤點和訪問內(nèi)部和外部數(shù)據(jù)源。為此,工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集、整合和分析數(shù)據(jù)所需的流程和程序,應(yīng)該根據(jù)數(shù)據(jù)的用途對數(shù)據(jù)進(jìn)行標(biāo)記。

{
普普點評

}

實施內(nèi)部威脅計劃的目的是確保不僅業(yè)務(wù)、數(shù)據(jù)或流程受到保護(hù),而且員工也受到保護(hù)。通過秘密監(jiān)控工作流,可以更準(zhǔn)確地標(biāo)記危害指標(biāo),幫助防止事件升級。但是,當(dāng)不可想象的事情發(fā)生時,如果毫無戒心的員工泄露了敏感數(shù)據(jù),那么擁有強(qiáng)大的可防御流程(這些流程已經(jīng)記錄了事件),就可以更輕松地進(jìn)行數(shù)字取證調(diào)查,并迅速解決問題。


LOOK
03
五項簡單操作 保護(hù)數(shù)據(jù)安全
普普安全資訊一周概覽(0521-0527)

數(shù)字化讓世界變得越來越小,信息變的越來越有價值,數(shù)字化也增加了帳號信息泄露、計算機(jī)遭竊取及劫持等風(fēng)險,主要是惡意軟件攻擊、勒索錢財,不過并非沒有辦法,跟隨五項安全基本原則幫您抵御惡意/勒索軟件攻擊。

1.了解常見的網(wǎng)絡(luò)釣魚例子。用來網(wǎng)絡(luò)釣魚的電子郵件通常還包含附件或鏈接,建議不要打開這些可疑的電子郵件并且立即將它刪除。

2. 設(shè)置雙重身份驗證。大多數(shù)的服務(wù)現(xiàn)在都提供雙重身份驗證功能,尤其是涉及敏感個人數(shù)據(jù)時,以防黑客攻擊。

3. 部署SSL證書以確保安全。部署SSL證書,網(wǎng)站實現(xiàn)https加密,可以驗證網(wǎng)站的真實性,辨別釣魚網(wǎng)站。

4. 避開可疑鏈接、郵件和附件。平時在上網(wǎng)時一定要謹(jǐn)慎,千萬要避開這些不安全的鏈接、郵件或附件。

5. 彌補(bǔ)系統(tǒng)漏洞。定期全面檢查企業(yè)現(xiàn)行辦公系統(tǒng)和應(yīng)用,發(fā)現(xiàn)漏洞后,及時進(jìn)行系統(tǒng)修復(fù),避免漏洞被黑客利用造成機(jī)密泄露。

{
普普點評

}


隨著安防行業(yè)大聯(lián)網(wǎng)、大集成趨勢的日益明顯,視頻監(jiān)控等領(lǐng)域產(chǎn)生的數(shù)據(jù)也越來越多,安防大數(shù)據(jù)得到不斷提升。我們的生活到處都是信息采集設(shè)備,甚至一臺智能電視、智能冰箱,都能實時采集用戶的數(shù)據(jù)和信息,每一個智能產(chǎn)物都可能面臨數(shù)據(jù)安全的威脅。而還是有很多企業(yè)和用戶并沒有關(guān)注到網(wǎng)絡(luò)安防的重要性,為用戶的個人信息安全提供最大限度的保障。



LOOK
04
對DDoS 攻擊進(jìn)行防護(hù)的幾種措施
普普安全資訊一周概覽(0521-0527)

卡內(nèi)基梅隆大學(xué)軟件工程研究所的研究員 Rachel Kartch建議組織實施四個最佳實踐來緩解 DDoS 攻擊。

1)使架構(gòu)盡可能具有彈性。組織應(yīng)分散資產(chǎn)以避免向攻擊者展示有吸引力的目標(biāo)。將服務(wù)器部署在不同的數(shù)據(jù)中心,確保數(shù)據(jù)中心位于不同的網(wǎng)絡(luò),路徑多樣,確保數(shù)據(jù)中心和網(wǎng)絡(luò)不存在瓶頸和單點故障。

2)部署可以處理 DDoS 攻擊的硬件。組織應(yīng)使用旨在保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)和安全硬件中的設(shè)置。許多下一代網(wǎng)絡(luò)防火墻、Web 應(yīng)用程序防火墻和負(fù)載均衡器可以防御協(xié)議和應(yīng)用程序攻擊。還可以部署專業(yè)的 DDoS 緩解設(shè)備。

3)擴(kuò)大網(wǎng)絡(luò)帶寬。如果組織負(fù)擔(dān)得起,他們應(yīng)該擴(kuò)展帶寬以吸收容量攻擊。對于沒有財務(wù)資源來投資更多帶寬的小型組織而言,這一步可能很困難。

4)使用 DDoS 緩解提供商。組織可以求助于專門響應(yīng) DDoS 攻擊的大型提供商,方法是使用云清理服務(wù)來處理攻擊流量,在流量到達(dá)組織網(wǎng)絡(luò)之前將其轉(zhuǎn)移到緩解中心。

{
普普點評

}


自2020年以來, DDoS 攻擊無論是攻擊數(shù)量、攻擊規(guī)模還是使用的攻擊向量數(shù),都在大規(guī)模爆發(fā)。根據(jù)Bank InfoSecurity咨詢的安全專家,公司應(yīng)該使用基于云的 Web 服務(wù)器來處理 DDoS 攻擊的高流量,進(jìn)行模擬真實世界 DDoS 攻擊的練習(xí),組織可以采取多種措施來防止攻擊并減輕其影響。在 DDoS 之前制定中斷緩解和響應(yīng)策略攻擊命中并培訓(xùn)員工如何識別和響應(yīng) DDoS 攻擊。



LOOK
05
企業(yè)數(shù)據(jù)安全管理體系建設(shè)“六步走”!
普普安全資訊一周概覽(0521-0527)

1)數(shù)據(jù)安全治理評估。開展數(shù)據(jù)風(fēng)險發(fā)現(xiàn)過程——數(shù)據(jù)安全治理評估——才能對自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險采取技防監(jiān)測、控制手段解決,

2)數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)。在開展組織架構(gòu)建設(shè)時,需要考慮組織層面實體的管理團(tuán)隊及執(zhí)行團(tuán)隊,同時也要考慮虛擬的聯(lián)動小組,所有部門均需要參與安全建設(shè)當(dāng)中

3)數(shù)據(jù)安全管理制度建設(shè)。從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險控制需要及法律法規(guī)合規(guī)性要求等幾個方面進(jìn)行梳理,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。

4)數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)。具體保護(hù)要求及措施,可參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。

5)數(shù)據(jù)安全運(yùn)營管控建設(shè)。數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性,需要進(jìn)行長期性服務(wù),建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊是必然選擇。

6)數(shù)據(jù)安全監(jiān)管。公安機(jī)關(guān)作為監(jiān)管單位,將依法履職盡責(zé),對數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險監(jiān)測與風(fēng)險評估等數(shù)據(jù)安全保護(hù)義務(wù)等行為依法開展監(jiān)督管理。

{
普普點評

}

數(shù)據(jù)安全保障體系六步走,共分為數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)。數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路,把“技術(shù)”作為“管理”的延續(xù),即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo),借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應(yīng)機(jī)制等,通過技術(shù)手段的不斷進(jìn)步逐一落實數(shù)據(jù)安全管理目標(biāo)。


LOOK
06
請注意,PDF正在傳播惡意軟件
普普安全資訊一周概覽(0521-0527)

據(jù)Bleeping Computer消息,安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動,攻擊者通過使用PDF附件夾帶惡意的Word文檔,從而使用戶感染惡意軟件。

類似的惡意軟件傳播方式在以往可不多見。在大多數(shù)人的印象中,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道。隨著人們對電子釣魚郵件的警惕性越來越高,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。其中,使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一。在HP Wolf Security最新發(fā)布的報告中,詳細(xì)說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具,這些宏在受害者的機(jī)器上下載和安裝信息竊取惡意軟件。在HP Wolf Security發(fā)布的報告中,攻擊者向受害人發(fā)送電子郵件,附件被命名為“匯款發(fā)票”的PDF文件,而電子郵件的正文則是向收件人付款的模糊話術(shù)。當(dāng)用戶打開PDF文件時,Adobe Reader會提示用戶打開其中包含的DOCX文件。攻擊者巧妙地將嵌入的Word文檔命名為“已驗證”,那么彈出的“打開文件”提示聲明就會變成文件是“已驗證的”。此時,出于對Adobe Reader或其他PDF閱讀器的信任,很多用戶就會被誘導(dǎo)下載并打開該惡意文件,惡意軟件也就進(jìn)入了受害者的電腦中。

{
普普點評

}


隨著人們對電子釣魚郵件的警惕性越來越高,以此對打開惡意Microsoft Office附件的了解越來越多,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。雖然專業(yè)的網(wǎng)絡(luò)安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件,但是對于普通用戶來說,收到此類PDF文件卻很難解決其中的問題,往往是在不知情的情況下中招。



LOOK
07
數(shù)據(jù)訪問管理基礎(chǔ)和實施策略
普普安全資訊一周概覽(0521-0527)

數(shù)據(jù)訪問管理是組織進(jìn)行的一個過程,用于確定誰可以訪問哪些數(shù)據(jù)資產(chǎn)。使公司能夠保護(hù)機(jī)密信息、定義數(shù)據(jù)所有權(quán)并實施托管訪問控制,使用戶能夠?qū)崿F(xiàn)數(shù)據(jù)驅(qū)動的創(chuàng)新。實施成功的數(shù)據(jù)訪問管理的步驟包括:

1)發(fā)現(xiàn)和分類敏感數(shù)據(jù)。一旦發(fā)現(xiàn)所有數(shù)據(jù)的存儲位置,需要采取進(jìn)一步的步驟來標(biāo)記、分類和評分它的敏感性。當(dāng)數(shù)據(jù)是正確分類,可以集中精力保護(hù)最敏感的數(shù)據(jù)資產(chǎn)。將能夠更有效地查明資源和工作。

2)分配訪問控制。用在數(shù)據(jù)訪問管理計劃的第一階段完成的風(fēng)險評估,可以為各個業(yè)務(wù)用戶創(chuàng)建訪問控制。但是,與其逐個用戶授予訪問權(quán)限,不如根據(jù)定義的角色、職責(zé)和分類來分配權(quán)限。

3)分析用戶行為。該過程目的是分析業(yè)務(wù)用戶如何更改、復(fù)制、創(chuàng)建或刪除貴公司系統(tǒng)中的敏感數(shù)據(jù)。此分析將能夠確定用戶是否有權(quán)進(jìn)行他們所做的修改以及是否需要撤消任何更改。

4)審查合規(guī)要求。對于許多監(jiān)管機(jī)構(gòu)來說,仍然需要通過填寫合規(guī)證書來證明不會違反任何合規(guī)性法規(guī)。

{
普普點評

}


當(dāng)公司使用數(shù)據(jù)治理工具時,數(shù)據(jù)訪問管理會更加有效且勞動強(qiáng)度更低。數(shù)據(jù)治理工具可以毫不費(fèi)力地輕松找到數(shù)據(jù)源并將其編目在一個位置。如果沒有足夠的數(shù)據(jù)訪問管理策略,數(shù)據(jù)治理計劃將會失敗。數(shù)據(jù)訪問不僅僅是保護(hù)敏感數(shù)據(jù)。如果沒有適當(dāng)?shù)脑L問管理,就不能期望用戶從他們所掌握的數(shù)據(jù)中獲得潛在價值。但是,不能直接參與數(shù)據(jù)管理計劃。就像一個成熟的數(shù)據(jù)治理計劃一樣,它必須有條不紊地進(jìn)行衡量和執(zhí)行。