远程工作环境中的可视性与威胁检测

在新冠疫情开始之初，当天下各地的当局下达居家令时，我们很难想象事变状态会产生永世改变。不外，跟着组织敏捷回收和扩展体系，以支持在短短三周内局限翻了一番的长途员工步队之后，公司文化也开始产生转变。跟着员工开始顺应长途事变模式，很多员工已经向他们的店主证明，他们居家办公也可以保持与之前一样的高服从，乃至在某些环境下还可以进步事变服从。

因为这种被迫举办的实行，很多专家和打点职员此刻猜测：这种机动的居家办公计策将会继承存在。Gartner 的研究表白，有 41% 的员工将会继承居家办公，而在新冠疫情产生之前这一比例只有 30%。另外，已有 13% 的首席财政官 (CFO) 开始减少用于办公空间的房地产支出。跟着长途事变模式的一连，安详专家必要回收响应的要领来维持已在消散多年的收集外围中险些不存在的可视性、监控和威胁检测。

尽量存在新的盲点，但在以下四个要害规模中，齐集式安详信息和变乱打点 (SIEM) 办理方案可以辅佐安详团队从头得到并晋升可视性与监控。

电子邮件

有针对性的进攻者善于编写极具吸引力的收集垂纶电子邮件，并且他们的本了解越来越熟练。电子邮件是必要予以监控的最重要的威胁前言之一，由于在进入组织收集的恶意软件中，有 94% 的恶意软件都是通过收集垂纶来交付的。若要尽早相识这些威胁，更重要的是，若要精确跟踪收集垂纶电子邮件打开后产生的环境，安详团队必要得到对整个组织中所产生环境的齐集视图。

为此，安详运营中心 (SOC) 团队可以将相干电子邮件变乱和收集流量的组合信息发送到齐集式 SIEM 办理方案举办说明。通过摄入和说明电子邮件变乱或电子邮件安详变乱（譬喻来自 Proofpoint 或 Cisco IronPort 的变乱），安详说明职员可以更有用、更全面地查察基于电子邮件的威胁。

为了得到更深入的洞察力，说明职员还可以操作收集说明成果来提取其他属性，譬喻电子邮件发件人、附件名称、文件哈希和 URL，然后将这些属性与威胁谍报举办及时关联。云云一来，这种收集级洞察力可以针对也许预示着收集垂纶进攻的已知威胁和可疑属性提供早期可视性并警报。

端点

在大局限转向长途事变模式之前，公司凡是可以分为两种范例：

• 一种是那些险些完全回收办公室事变模式，其用户行使台式机举办事变的公司，
• 而另一种是那些支持长途事变模式，其条记本电脑上的用户可以通过 VPN 毗连到收集的公司。

当员工险些完全转向长途事变模式时，他们城市面对诸多挑衅。之前回收办公室事变模式的组织必要敏捷弄清晰如作甚长途员工启用焦点处事和应用，并且在某些环境下，还必要初次陈设假造专用收集 (VPN)。支持长途事变模式的公司会发明 VPN 行使量激增，收集不堪重负且速率大大低落，从基础上迫行使户不得不离开 VPN 来维持出产服从。从安详角度来看，两种环境都在端点和用户勾当方面引入了大量盲点。

若要从头得到可视性，安详团队可以团结回收端点操纵体系 (OS)、VPN 和端点检测与相应 (EDR) 变乱来举办威胁检测。借助 Windows、macOS 和 Linux 的当地日记记录，安详团队可以洞悉端点级别产生的环境。通过行使 Sysmon 扩展 Windows 变乱日记记录，团队可以得到更深入的威胁相干洞察力，譬喻流程勾当和域名体系 (DNS) 哀求。

对付行使 EDR 办理方案（譬喻 Carbon Black 或 CrowdStrike）的组织，可以将端点安详变乱发送到齐集式 SIEM 办理方案，并与其他企业数据相干联，以实现端到端威胁可视性。一旦 EDR 与 SIEM 举办了细麋集成，便可以直接从 SIEM 界面启动相应操纵。最后，当用户登录 VPN 或通过基于风险的身份验证会见应用时，这些办理方案可以洞悉有关端点位置、MAC 地点、用户署理以及其他有代价的信息，进而提供这是否是真适用户的洞察力。

一旦通过单个位置网络了这些名贵的数据，安详团队便可运用一系列呆板进修和基于相干性的说明来检测已知和未知威胁。对付安详运营团队而言，探求可提供预构建安详用例和说明的 SIEM 供给商尤为有效，这样他们就不必耗费时刻和款子从新开始研究和开拓这些产物。

应用

应用勾当的监控应是团队的首要重点，由于与监控端点差异，组织纵然在收集之外也如故可以节制应用勾当。应用监控尚有助于袒露收集中已存在的进攻者。应用监控可以在多个级别上执行：

• 通过身份即处事 (IDaaS) 办理方案（譬喻 Cloud Identity Connect 或 Okta 登录时。
• 直接通过 SAP、SalesForce.com 或 Office 365 等应用登录、注销时。
• 通过 Zscaler 等云会见安详署理 (CASB) 办理方案来监控谁正在会见或试图会见哪些应用。
• 直接在应用仓库内，包罗 OS 容器编排平台（如 Kubernetes）、容器自己和这些情形中的 API 挪用。

除了在每个级别上监控和说明变乱之外，收集监控还可以提供有关应用数据如安在收集中活动、哪些职员和工具毗连到了这些体系以及是否发明白非常流量的具体洞察力。这一新增的洞察层可以加强现有的可视性和洞察力，辅佐安详团队更快发明一些可疑勾当，譬喻受害帐户和横向移动数据渗出实行等。另外，当进攻者得到足够的节制权，进而乐成地行使检测规避技能（譬喻禁用日记记录）时，收集监督也许会出格有效。作为高度靠得住的究竟来历，收集数据可以表现体系和应用何时处于联机状态，纵然它们没有发送日记，也可以继承提供针对这些体系和应用运行状况的可视性。

云

因为很多物理数据中心暂且封锁，因此组织急切必要将 IT 体系的现场物理维护需求降至最低。很多组织已敏捷加快了云基本架构的回收，为其事变负载和应用提供支持，以维持营业持续性。因为很多此类迁徙已经举办了筹划（凡是只是凭证随后的时刻表举办），因此大大都安详团队都应祈望这些投资可以或许继承保持。

为了更早地相识这些情形中的风险和威胁，安详团队可以监控一系列变乱，包罗用户勾当、应用勾当以及资源和设置变动。荣幸的是，首要的公有云供给商（譬喻 AWS、IBM、Azure 和 Google Cloud））均提供了富厚的日记、变乱和收集流数据集，这些可引入到齐集式 SIEM 办理方案之中，进而实现内部和多云情形中的可视性和检测。

通过摄入此类数据并对其运用安详用例，说明职员可以得到有关多种可疑勾当的洞察力，譬喻：

• 非常的用户和帐户勾当，譬喻非常的身份验证勾当、来自差异地理位置的多次登录或可疑的根用户勾当。
• 非常的事变负载勾当，包罗非常的 API 挪用、可疑的容器勾当或会见资源的非尺度处事。
• 高风险设置变动，譬喻可疑的 IAM 或安详组计策变动、S3 存储区计策变动或新证书或变动的证书。
• 可疑的资源变动，譬喻非尺度的假造私有云 (VPC) 或 EC2 实例，可能 EC2 实例的数目或巨细的快速增进。

尽量很多云提供商都可提供本身的原生安详成果，但其产物却无法齐集查察跨情形的安详数据，导致说明职员不得不在伟大的数据孤岛中事变。现在，有 62% 的公有云回收者行使两个或多个公有云；均匀而言，每个组织行使 4.8 个独立的公有云和私有云情形。对付疲于应对不绝增添的事变负载的说明师来说，得到齐集式的云可视性以及在威胁通过差异情形时对其举办自动说明、检测和跟踪的手段至关重要。可以或许跨云和内部情形摄入和说明变乱和流数据的齐集式 SIEM 办理方案，可辅佐说明师在威胁进级并造成严峻侵害之前快速、更有用地检测威胁。

总结

因为正在快速转移到长途事变模式，很多 IT 组织此刻已经陈设了支持长途员工的技能。在已往的数月中，员工已经证明他们居家办公也可以保持较高的出产服从。跟着我们迈向新常态，即将产生的一项明明变革就是越发机动、对长途友爱的事变计策。在此环境下，安详运营团队必要一种可一连的恒久计谋，以在具有新盲点且险些没有任何剩余外围的收集上保持可视性和威胁检测。

通过更加增进齐集式安详说明，出格是收集垂纶、端点、应用和云安详用例，安详说明职员可以得到新的洞察力，补充丢失的可视性并最终辅佐加强组织的安详态势。在现在安详团队因为长途事变而精疲力尽的期间，组织可以思量陈设具备以下上风的 SIEM 办理方案：可以或许在任何情形（包罗 SaaS 或公有云）中运行、可以或许提供预构建用例，让检测变得更轻松并进步总体代价，同时可以或许提供与 SOAR 办理方案（如 Resilient）的细麋集成，进而加速端到端威胁检测、观测和相应周期。

相识更多信息，请会见IBM安详专题

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!