威胁追踪如何增强您的网络安全态势

网络威胁的复杂性、频率和影响正在加剧。2022 年,勒索软件攻击达到2.361 亿次,其中 39% 的英国企业遭受网络攻击。

这些攻击需要工具和资源来识别和纠正漏洞,以在云环境中维护强大的安全框架,从而降低数据泄露和合规违规的风险。

在这里,威胁追踪对于一致的云安全态势管理 ( CSPM ) 策略至关重要,而该策略对于保护组织免受这些持续的网络威胁至关重要。

什么是威胁狩猎?

网络威胁搜寻涉及积极寻找可能使 IT 基础设施遭受攻击的潜在网络威胁或漏洞。

通常,此类基础设施包括硬件(服务器、交换机、路由器、打印机等)、软件(业务应用程序、操作系统、数据库等)、网络基础设施(LAN、WAN、防火墙等)、数据中心等。

威胁搜寻是一种主动的网络安全方法,涉及通过网络和数据集(或类似的 IT 基础设施)进行深思熟虑的系统搜索,以识别和隔离逃避现有安全解决方案的高级威胁。

这意味着威胁搜寻依赖于更主动的方法,而不是等待来自防火墙或入侵检测系统等传统安全工具的警报。

让我们探讨威胁追踪如何帮助加强网络安全态势。

高级威胁识别

高级威胁识别是一组工具和策略,可帮助主动搜索和识别传统网络安全措施(如防火墙、反恶意软件解决方案等)可能无法检测到的复杂威胁。

这些威胁可能包括高级持续性威胁 (APT),即未经授权的用户获得对系统或网络的访问权限并且长时间未被检测到的攻击。

与常见的网络威胁不同,APT 的识别和消除尤其具有挑战性,因为它们运行安静且避免触发典型的安全警报。他们经常采用加密、零日漏洞和定制恶意软件等复杂技术来绕过组织的安全防御。

高级威胁识别的关键活动

行为分析:监视网络内的用户行为和系统以识别异常或可疑模式。例如,如果用户突然开始访问他们通常不使用的数据或系统,这可能是安全漏洞的迹象。

沙盒:这需要在单独的隔离环境(“沙盒”)中运行可疑程序或文件以查看它们的行为。威胁追踪者可以使用网络沙箱工具来测试潜在有害的软件,而不会损坏主系统或网络。

威胁情报:收集、分析和共享威胁情报数据。威胁追踪者利用这些情报来了解网络犯罪分子的策略、技术和程序 (TTP),并制定应对策略。

网络取证:这是数字取证的一个子集,是指捕获、记录和分析网络事件以发现安全事件或其他问题事件的根源。这是监视和分析计算机网络流量以收集信息、法律证据或入侵检测的过程。

端点检测和响应 (EDR): EDR 工具检测、调查和缓解主机和端点上的可疑(和潜在有害)活动。

下面更详细地介绍了威胁搜寻如何识别和减轻威胁:

创建假设:创建可行的假设是威胁追踪的第一步。例如,威胁猎人会假设攻击者会尝试闯入公司的电子邮件系统。威胁环境、事件、行业趋势和威胁情报报告都是该假设的可能起点。

调查:形成假设后,威胁追踪者结合使用SIEM、网络流量分析、渗透测试工具、流量信息、日志和系统行为等工具和技术来深入调查网络。这是为了使用尖端工具和方法寻找可疑威胁的证据。他们可能会在数据中寻找恶意行为的指标,例如服务器日志、网络流量和用户交互。

检测:如果威胁追踪者发现可能存在威胁的迹象,他们将进一步调查以确定其是否真实。这可能包括调查服务器上的系统调用模式、跟踪网络流量的来源或检查特定软件的行为。

事件响应:一旦识别出危险,事件响应者(以及威胁追踪者)将努力消除它。潜在的解决方案包括隔离受影响的系统、根除恶意软件、修复漏洞和加强安全措施。他们还可能聘请数字取证专家和事件响应团队来确保网络的安全。

事件后分析:消除威胁后,威胁追踪人员会进行事件后调查,以了解攻击者如何破坏安全、造成了多大损害以及可以采取哪些措施来避免更多攻击。这项研究提供了有价值的信息,可用于加强公司的云安全并指导未来定位和消除潜在威胁的工作。

采用分层风险缓解方法

威胁狩猎涉及采取战略措施来减少攻击面并推动数据防御。目标是通过采取主动和分层的安全态势来最大限度地减少威胁的影响。

在网络安全中,攻击面是指未经授权的用户(攻击者)可以尝试进入环境或从环境中提取数据的点或“表面积”的总数。

换句话说,它是未经授权的攻击者可以访问设备或网络的所有不同点的总和。这些问题包括软件漏洞、系统配置错误、不必要的服务和不受保护的用户凭据。

推动数据防御意味着采取积极措施来保护数据的完整性、可用性和机密性。

这些措施的一些例子如下:

加密:加密是将信息转换为只有有权访问秘密密钥的人才能解密的代码的过程。例如,使用 AES 加密静态数据或在传输过程中使用传输层安全性 (TLS)。

访问控制:用户的权限和身份验证属于“访问控制”的范畴。根据最小权限原则 (PoLP),仅应向用户授予完成其工作所需的最少量权限或访问权限。

防火墙和 IDS/IPS:防火墙和入侵检测系统/入侵防御系统通过监视和阻止恶意活动来保护网络。

数据备份和恢复:强大的灾难恢复策略和定期数据备份可以在发生数据泄露或系统故障时确保您的信息可访问。

如何采取主动、分层的安全态势

采用主动和分层的安全态势涉及采取多方面的安全方法、预测潜在威胁并采取措施预防威胁,而不仅仅是在攻击或违规发生时做出反应。

实现此目标的方法如下:

●识别数据并对其进行分类:确定您的数据、数据所在的位置、谁有权访问这些数据以及当前采取了哪些保护措施。

●实施多层防御:也称为深度防御,这可能涉及防火墙、IDS/IPS、网络分段、加密、安全密码和多重身份验证。如果一层失败,其他层仍会留在原地以阻止威胁。

●持续监控和威胁情报:使用可对应用程序和网络硬件生成的安全警报进行实时分析的工具和服务。订阅威胁情报源以跟上最新趋势和漏洞。

●定期审核和测试:定期安全审核可确保您的防御功能按预期运行。此外,执行渗透测试和漏洞扫描以查找并修复任何潜在的弱点。

●事件响应计划:制定一份记录完善且经过实践的事件响应计划。确切地知道在安全漏洞期间该怎么做可以最大限度地减少停机时间和损失。

●培训和意识:让您的团队了解最新的威胁以及如何识别和预防这些威胁。消息灵通的团队是抵御网络安全威胁的最有效防御措施之一。

增强安全协议

可以借助威胁搜寻来评估当前安全措施的有效性。它可以揭示当前防御中的潜在弱点,并提供加强防御的机会。此外,该程序有助于检测策略和协议缺陷,这可能有助于加强整体安全系统。

当安全流程得到改进时,针对网络攻击的防御就会得到加强,从而降低安全漏洞的可能性。

以下是一些改进安全协议及其使用实例的建议:

例行审核和更新:定期检查您的系统,以确保所有应用程序均更新至最新版本。过时的软件可以为黑客提供切入点,因为它们通常具有已在新版本中修补的已知漏洞。

示例:消费者信用报告机构 Equifax在 2017 年遭受数据泄露,原因是其一个 Web 应用程序中存在未修补的漏洞。定期的软件审核可能有助于防止这种违规行为。

分层安全措施:结合分层安全协议来提供深度保护。这种方法也称为深度防御,可确保如果一种防御失败,其他防御仍将到位以阻止或减轻攻击。

示例:Google 采用分层安全方法。假设尝试从无法识别的设备访问用户的帐户。在这种情况下,它会触发额外的安全层,例如提示输入第二个密码或向用户的手机发送验证码。

加密:始终对敏感数据进行加密。它确保即使数据被拦截或未经授权访问,窃贼仍然无法读取且无用。

示例:WhatsApp 使用端到端加密来保护用户消息的隐私。即使这些消息被拦截,除预期收件人之外的任何人都无法阅读。

使用强密码和双因素身份验证 (2FA):实施严格的密码策略并鼓励或强制使用2FA。它增加了一层保护,使未经授权的用户更难访问敏感信息。

示例:2012 年,Dropbox 遭遇数据泄露,超过 6800 万用户的密码被泄露。此后,该公司鼓励使用 2FA 为用户帐户添加额外的安全层。

考虑到上述策略,组织可以有效增强其安全协议,并更好地抵御潜在的网络威胁。

威胁追踪使组织能够更深入的研究其网络,识别传统安全措施可能遗漏的隐藏威胁。这种方法会寻找妥协的迹象,从而能够在威胁造成重大损害之前对其做出快速响应。

这不仅仅是等待安全系统发出的警报并采取积极的立场来识别和补救风险。它需要定期进行威胁搜寻演习,以确保安全团队随时了解不断变化的威胁形势,从而为保护组织的资产做好更好的准备。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/88841.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

asp.net core automapper的使用

1.安装automapper的nuget包 AutoMapper.Extensions.Microsoft.DependencyInjection 2.创建需要映射的类和转换后的类 public class studto{public int sn { get; set; }public string name { get; set; }public string sex { get; set; }public int age { get; set; }public s…

mac 配置 httpd nginx php-fpm 详细记录 已解决

在日常mac电脑 开发php项目一直是 httpd 方式 运行,由于有 多版本 运行的需求,docker不想用,索性用 php-fpm进行 功能处理。上次配置 是好的,但是感觉马马虎虎,这次 配置底朝天。因为配置服务器,几乎也都是…

List<HashMap<String,String>>实现自定义字符串排序(key排序、Value排序)

系列文章目录 SpringBootVue3实现登录验证码功能 Java实现发送邮件(定时自动发送邮件) 换个角度使用Redis去解决跨域存取Session问题 Redis缓存穿透、击穿、雪崩问题及解决方法 Spring Cache的使用–快速上手篇 更多该系列文章请查看我的主页哦 文章目录…

游戏技术亮点|Aavegotchi 与 GameSwift 建立合作伙伴关系

构建一个优秀的游戏只是成功发布的一部分,让数百万玩家体验这款游戏才是真正的乐趣所在。 这也是为什么我们很高兴宣布与 GameSwift 建立了新的合作伙伴关系,GameSwift 是一款先进的模块化游戏区块链,采用 zkEVM 技术构建,是全球…

切割VOC的图像和他的标签

切割VOC的图像 背景代码 背景 图像及对应xml文件切割 需要将图像切分为819,819的子图像 代码 import os import xml.etree.ElementTree as ET from PIL import Imagedef crop_one_image_and_xml(image_path, annotation_path, output_path, filename):# -*- coding: encoding…

[Zer0pts2020]Can you guess it? basename特性 和preg_match 绕过

直接就可以进入看看源代码 原本以为这道题目有两个方法来做 但是 后面发现第二个没有找到漏洞 这里考点主要就是 正则和 basename的特性 首先就是正则 现在出现一个知识点 就是 /index.php/config.php 这种路径 访问的还是 index.php 我们可以试试看 还是在index.php中过…

基于微信小程序的明星应援小程序设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言系统主要功能:具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序(小蔡coding)有保障的售后福利 代码参考源码获取 前言 💗博主介绍:✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计…

golang工程——常用数据结构底层原理【mao、slice、func、string】

字符串 其实就是字符数组 注意 字节数组与字符串可以相互转换 a : "hello world" b : []byte(a) c : string(b)字节数组转换为字符串在运行时调用了slicebytetostring函数。需要注意的是,字节数组与字符串的相互转换并不是简单的指针引用,…

【实战详解】如何快速搭建接口自动化测试框架?Python + Requests

摘要: 本文主要介绍如何使用Python语言和Requests库进行接口自动化测试,并提供详细的代码示例和操作步骤。希望能对读者有所启发和帮助。 前言 随着移动互联网的快速发展,越来越多的应用程序采用Web API(也称为RESTful API&…

分类预测 | Matlab实现GA-RF遗传算法优化随机森林多输入分类预测

分类预测 | Matlab实现GA-RF遗传算法优化随机森林多输入分类预测 目录 分类预测 | Matlab实现GA-RF遗传算法优化随机森林多输入分类预测效果一览基本介绍程序设计参考资料 效果一览 基本介绍 Matlab实现GA-RF遗传算法优化随机森林多输入分类预测(完整源码和数据&…

如何进一步全面提高项目估算精准度?

项目估算非常重要,这直接关系着项目的成本和收入,如果估算不准确,将为项目带来较大风险。一般软件规模可以用多种方式进行估算,但是用功能点估算方式更准确,而自动估算让估算更快速,我们以CoCode开发的估算…

【Go】rsrc不是内部或外部命令、无法将“rsrc”项识别为 cmdlet、函数、脚本文件或可运行程序的名称 解决方法

前言 想尝试用go创建一个桌面应用程序,然后查了下决定用 walk。 我们要先下载walk,这里 官方链接 按照官方文档,我们先用go get命令下载。 go get github.com/lxn/walk然后分别创建好了 main.go、main.manifest 文件,代码如下…

libtorch之tensor的使用

1. tensor的创建 tensor的创建有三种常用的形式,如下所示 ones创建一个指定维度,数据全为1的tensor. 例子中的维度是2维,5行3列。 torch::Tensor t torch::ones({5,3}); zeros创建一个指定维度,数据全为0的tensor,例子…

Java基于SpringBoot的民宿管理系统,附源码

博主介绍:✌程序员徐师兄、7年大厂程序员经历。全网粉丝30W、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 文章目录 开发环境:后端:前端:数据库: 系统架构&#xff1a…

nginx配置密码访问

安装htpasswd 因为需要使用到htpasswd,htpasswd是Apache服务器中生成用户认证的一个工具,如果未安装,则使用如下命令安装htpasswd。 yum install -y httpd-tools设置用户名和密码 htpasswd 安装成功后,就可以设置用户名和密码&am…

Java项目-Spring Boot的生鲜网上交易系统

博主介绍:✌程序员徐师兄、7年大厂程序员经历。全网粉丝30W、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 文章目录 1 简介2 技术栈3 系统功能4 功能设计5系统详细设计5.1系统功能模块5.2后台功能模块5\.2\.1用户功…

vscode左键无法跳转到定义的文件

之前用vscode的时候,明明是可以ctrl键鼠标左键跳转到定义文件的,突然之间就不行了,鼠标移到引入上根本都没有下划线,无法跳转 解决方法: 项目的根目录新建 jsconfig.json 文件,代码如下 {"compiler…

http基础教程(超详细)

HTTP HTTP 一 、基础概念 请求和响应报文URL 二、HTTP 方法 GETHEADPOSTPUTPATCHDELETEOPTIONSCONNECTTRACE 三、HTTP 状态码 1XX 信息2XX 成功3XX 重定向4XX 客户端错误5XX 服务器错误 四、HTTP 首部 通用首部字段请求首部字段响应首部字段实体首部字段 五、具体应用 连接管理…

敏捷发布列车初探2 ---- Agile Release Train

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 敏捷发布列车二、ART的特性2.敏捷团队为列车提供动力3.与共同节奏保持一致4.关键角色启用 三、ART的责任总结 敏捷发布列车 敏捷发布列车(ART&#xff…

CentOS 7.5 centos failed to load selinux policy 错误解决方法

这是个 selinux 使能导致的, 关闭即可 在进入到内核选中界面,选中要启动的内核, 按键盘 e 就会进入启动参数界面 进入启动参数界面如图,按上下键找到 UTF8 UTF8如图, 添加 selinux0 添加完成如图, 按 ctr…