网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……



如何用智能方式应对网络威胁?

2019-01-14 14:45 推荐: 浏览: 13 views 字号:

摘要: 最近Imperva 发布了“ 2018 Web 应用漏洞现状”报告。数据显示,2018 年发现的 Web 应用新漏洞共 17,142 个,比 2017 年增加了 21% ,相比 2016 年增加了 159% 。其中有超过一半的漏洞可被黑客公开利用,有超过 1/...

最近Imperva 发布了“ 2018 Web 应用漏洞现状”报告。数据显示,2018 年发现的 Web 应用新漏洞共 17,142 个,比 2017 年增加了 21% ,相比 2016 年增加了 159% 。其中有超过一半的漏洞可被黑客公开利用,有超过 1/3 的漏洞暂时还没有可用的解决方案。

目前网络攻击手段越来越新颖,漏洞的修复工作也越来越难。而目前我们的安全防护手段能否面对复杂的网络状况,保护好我们的核心资产呢?

事件一

  • 攻击时间:2016-2017年
  • 被攻击的公司:德勤公司
  • 攻击后响应的时间:4个月
  • 造成的损失:超过500万份内部邮件疑遭泄露,其包含了大量客户的敏感信息和知识产权。
  • 事件详细描述:

    在2017年9月,全球四大会计师事务所之一的德勤公司曝出公司史上最严重的黑客攻击事件,据悉黑客于2016年10月至11月期间,仅通过破解管理员账号(未启用双因子两步认证)这种初级攻击,就轻易渗透并潜伏德勤的全球电子邮件服务器。而德勤公司直到2017年3月份才察觉此次黑客攻击并做出反应。

事件二

  • 攻击时间:2014年-2018年
  • 被攻击的公司:万豪国际集团旗下喜达屋酒店
  • 攻击后响应的时间:5年
  • 造成的损失:多达5亿人次的详细信息遭到泄露。事后,万豪国际美股盘前跌逾5%,并陷入集体索赔125亿美元的诉讼中。
  • 事件详细描述:

    2018年11月30日,万豪国际集团在其官方微博账号上表示,一个客房预订数据库被黑客入侵。而经调查后发现,该酒店自2014年起,就存在第三方对喜达屋网络未经授权的访问的现象。直至今年9月8日,该公司接到侵入警报,11月19日才解密信息。

以上两个事件仅是众多事件中具有代表性的,其实大都企业都存在类似的问题。企业在追究过错时,并不能一味将包袱甩给黑客,把自己等同于一般的受害者。而应提高网络安全意识,提升企业威胁检测能力,缩短应急响应的时间差,而这是攻防对抗中的关键。

 

企业应急响应难度大

任何大中小型企业都会经历警报不断涌入的情况,但其中很多都是误报。从海量过滤警报中发现网络威胁,并对重大网络威胁进行应急响应,所花费的时间是几天,甚至是几个月、几年的时间。这个我们可以从上面德勤公司和万豪公司我们就可以看出。

对于企业或单位来说,企业每天产生的威胁警报数量已经大大超出企业安全团队的处理能力,而现在安全人才是非常紧缺的。以至于未能在最短时间内进行应急响应。

网络攻击的出现对于应急响应的安全运维人员而言就是一场争分夺秒的战争,往往需要紧急的编写脚本,扫描主机,有时甚至需要到Git的存储机器上对代码来个全身检查,最后确定攻击来源、路径。整个流程执行完成,花费的时间大概是1~2天。

流程

工作

收集信息

收集企业信息和中毒主机信息,包括样本

判断类型

判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等

深入分析

日志分析、进程分析、启动项分析、样本分析等

清理处置

直接杀掉进程,删除文件,打补丁,抑或是修复文件

产出报告

整理并输出完整的安全事件报告

应急响应大致可以分为五个部分,其基本流程包括收集信息、判断类型、深入分析、清理处置、产出报告。 其中收集信息、判断类型、深入分析占整个应急响应工作的70%的时间,并且这些工作非常需要网络人员的经验完成。

而每次重大网络威胁的出现,都需要执行重复的操作,这给网络人员造成了巨大的工作量,从而拖长了应急响应的时间。同时市面上的日志分析等工具,无法构建攻击画像,从而很难识别APT等恶意攻击。

 

 

智能助手平台

极限网络是专注智能机器人与安全系统集成的专业网络安全公司,成立至今为政府、企业提供了数项专业网络安全解决方案和全方位的专业网络安全服务。极限网络于2015年至今开发了极限智能助手平台。

智能助手平台是一个机器集群平台,拥有网络资产维度、AI仿真模拟、蜜罐识别、多维度关联分析等技术手段。可帮助网络安全人员提高威胁警报的自动处理率,减少人工处理工作量。让企业及单位能做到快速检测、梳理和缓解威胁。

在应急响应过程中,极限网络可构建自动化辅助平台,极限智能助手平台可通过输入出现漏洞的软件、组件名称,自动完成漏洞软件或组件进行快速排查,助网络安全人员,自动化完成病毒信息收集、资产扫描、状态监测等重复次数多、技术要求低的工作。

同时极限基于大数据平台,建立具有日志分析的威胁情报机器人,通过日志记录提取存在的恶意行为、IP,推断出哪个服务器受到攻击。并通过样本、攻击行为,构建出攻击画像,并成为网络安全人员判断决策的依据。

最后,极限助手平台将整个威胁警报发生到应急响应的过程中所产生的数据,都沉淀于平台,让部分能力沉淀到平台而不强烈依赖个体的经验,进而在执行过程中能规模化、易用化。

极限智能助手协助网络安全人员完成应急响应过程中所有重复性工作,减轻了网络安全人员的工作,提升了网络安全人员的工作效率。并让网络安全人员将时间放在更复杂、更有意义的工作上,最终极大缩短应急响应的时间,从而保护好企业及单位的核心资产。

END


陕ICP备11003551号-2


关闭


关闭