威胁检测是指对整个安全生态系统进行分析,找出可能侵入网络的恶意行为。。如果我们检测到威胁,我们需要采取措施,在当前的脆弱被利用之前,对威胁进行适当的无害化处理。。
侵害造成的伤害是一场噩梦。。而且,很多重视自己公司信息的组织,会把有能力的人才和技术配置为防御可能引发问题的人的屏障。。但是安全是持续性的过程但我不能保证。。
“威胁检测”这个概念是多面性的。。即使是最好的安全程序,也需要为最坏的情况做准备,以防某人或某件事通过防御技术成为威胁。。
检测并缓解威胁速度至关重要。。为了不给攻击者太多的时间去寻找机密数据,安全程序需要快速有效地检测威胁。。最理想的情况是企业的防御系统可以阻止大部分威胁。。因为他们知道如何应对这些威胁,因为过去有不少威胁是被检测到的。。这些威胁被认为是“已知的”威胁。。但是,还有一些新的“未知”的威胁是组织想要探测到的。。这意味着有些威胁是组织从未遇到过的,因为攻击者使用了新的方法和技术。。
在某些情况下,已知的威胁会穿透最好的防御措施。。这就是为什么很多安全组织在环境中积极地检测已知和未知的威胁。。那么,组织如何检测已知和未知的威胁呢??
防御方有几个有用的方法。。
威胁情报是一种从先前检测到的攻击中查找签名数据,并与企业数据进行比较来识别威胁的方法。。这个方法在检测已知的威胁时特别有效,但对未知的威胁无效。。威胁情报经常被使用,安全信息/事件管理在(siem)、防病毒、入侵检测系统(IDS)和网络代理技术上都有显著的效果。。
用户行为分析这样,组织就可以对员工的正常行为进行基线的设想,例如访问的数据类型、登录时间、物理停留地点等。。根据这个方法,平时在纽约从上午9点工作到下午5点,不需要出差的人,在上海凌晨2点登录这样突然的异常的事情,被认为是不正常的行动,我们需要进行好奇分析。。
在攻击者的行为分析中,没有用于比较信息的活动“基线”。。相反,那些在网络上检测到的看似无关的小活动,可能是背后隐藏着攻击者的活动的主题路径。。我们需要技术和人类的大脑来整合这些信息,它们可以帮助我们想象攻击者在组织网络中的行动。。
有一些非常有吸引力的目标,让攻击者无法忽视。。安全团队知道这一点,所以他们设置陷阱,希望攻击者能“咬住诱饵”。。在该组织的网络中,入侵者陷阱会访问那些看似容纳网络服务的蜂巢目标(这对攻击者来说特别有吸引力),以及处理敏感信息的系统和数据。“哈尼验证信息”,这些信息看起来具有攻击者需要的用户权限。。当攻击者追踪到这些“食物”时,就会生成警报,这让安全团队意识到网络中存在值得调查的可疑活动。。各种类型的传感技术有关的详细内容在这里。
安全分析师不是等待威胁出现在组织的网络上,而是积极地在自己的网络、端点和安全技术上进行威胁狩猎,寻找尚未检测到的威胁我们可以找到威和攻击者。。这通常是由熟练的安全分析家和威胁分析家采用的高级方法。。
为了监视组织的员工、数据和重要资产的安全,一个成熟的安全威胁检测程序最好包括上述所有战术。。
威胁检测需要人力和技术两方面。。人力因素包括安全分析师,他们可以分析趋势、数据、行为和报告模式,判断异常数据是潜在威胁还是误报。。
但是,威胁检测技术也在检测过程中扮演着重要的角色。。目前还没有威胁检测的特效药。也没有什么工具是万能的。取而代之的是,通过工具的组合,它充当了一个覆盖整个组织网络的网络,在威胁变成更严重的问题之前检测和捕捉。。
健壮的威胁检测程序使用了以下技术:。
结合这些防御措施,我们有更多机会快速、高效地发现并缓解威胁。。安全是一个持续的过程,没有任何保障。。最大限度地确保商业安全取决于客户和客户导入的资源和流程。。