不断变化的网络威胁形势要求组织为其网络安全团队配备必要的技能来检测、响应和防御恶意攻击。然而,在研究中发现并继续探索的最令人惊讶的事情是,欺骗当前的网络安全防御是多么容易。
防病毒程序建立在庞大的签名数据库之上,只需更改程序内的文本这样简单的操作就很容易崩溃。这同样适用于网络签名以及端点检测和响应。
防御技术主要关注某些行为,但归根结底,恶意软件只是软件——它与常见软件活动的融合程度越高,被检测到的可能性就越小。
近年来,为了应对这些威胁,模拟演习已成为测试网络安全团队技能水平并为他们应对网络对手带来的挑战做好准备的强大工具。
一般来说,能够想象与攻击者的交战将如何展开并以组织的胜利告终的团队将为交战实际发生时做好准备。模拟练习使安全领导者能够快速做到这一点,同时持续监控工具、人员和流程。
适应不断变化的威胁形势
网络安全模拟演习类似于军事训练演习,其中一个团队(网络术语中的红队)扮演对手的角色,以评估防御者(蓝队,代表组织的防御)检测和防御攻击的能力。
这些模拟通常涵盖威胁行为者在特定时间点在给定范围内开展的活动,并且活动随着威胁行为者的战术、技术和程序 (TTP) 的变化而演变。
然而,这些企业模拟存在双重问题。首先,它们通常在昂贵的网络范围内执行,需要大量的时间和精力来创建,并且在复制真实企业环境方面的准确性有限。其次,他们要求安全团队休息几天来完成演习。
为了解决这些问题,重点已转移到开发模拟,使防御者能够在实际环境中实时快速测试新的 TTP,而无需进行完整的红队演习。
目标是评估监控工具、流程和人员面对当前威胁的有效性。通过模拟特定的 TTP(例如具有不同有效负载的网络钓鱼攻击或数据泄露),网络安全团队可以提高技能并更好地应对现实世界的挑战。
理想情况下,这应该是个人 TTP 每周一次的演习,并且每年至少进行一次完整的红队评估。消除在几个月内模拟完整活动的要求可以提高相关团队的投资回报率。
通过定期进行模拟,安全领导者可确保其团队实时修复配置并响应新威胁。正如安全专业人士所知,攻击者总是实时操作,因此除了匹配攻击频率之外的任何操作都会构成严重威胁。
衡量反应并确定技能差距
即使是最先进的网络攻击也会利用已经存在多年的基本技术。这使得掌握基础知识对于防守至关重要。
企业需要专注于充分利用其技术堆栈中的现有工具来检测最基本的技术,然后从那里升级到更先进的技术。这使得团队能够首先从等式中消除最常见的威胁,让他们有时间识别和构建防御最危险威胁所需的专业知识和基础设施。
在模拟各种 TTP 时,安全领导者可以通过两种方式对其进行分类。首先,按执行特定攻击所需的专业知识水平。其次,根据应检测攻击的数据区域或数据类型。
要衡量模拟的成功与否,请评估团队在启动后检测和响应特定 TTP 所需的时间,具体取决于技术的类别。然后,他们可以绘制必须开发的关键技能、流程和技术差距,以减少响应时间。为了弥补技能差距,组织可以投资实践网络技能提升计划或认证,从根本上解决问题。
攻击后的恢复阶段也是评估优势和劣势并制定未来战略的重要时期。模拟以前攻击中使用的技术应该是此阶段事件响应的一部分。
“经验教训”不仅需要是理论上的,而且还需要可付诸实践。请务必测试您在模拟之间所做的更改,以确保它们确实能够抵御事件中使用的特定攻击。除非你这样做,否则你将面临再次妥协的风险。
要点
模拟练习已成为网络安全团队不可或缺的工具,使他们能够为面临的无情且不断变化的网络威胁做好准备。
通过模拟现实世界的攻击场景,组织可以识别并弥补技能差距,微调其防御并提高事件响应能力。定期更新的演习可确保网络安全专业人员及时了解不断变化的威胁形势,并相应地调整策略。
随着网络行业继续与威胁参与者进行猫捉老鼠的战斗,通过模拟练习成为威胁是在数字时代保持领先和保护关键资产的关键。
