零日威脅防護的3個(gè)步驟

最近的Microsoft Exchange攻擊事件提醒我們，新的網(wǎng)絡(luò )威脅無(wú)處不在。從本質(zhì)上講，零日攻擊使威脅行為者占據上風(fēng)，他們能夠瞄準他們認為易受攻擊的系統。但是，零日攻擊并非不可避免。下面這些方法可幫助你識別零日威脅、縮小暴露范圍并在實(shí)際攻擊發(fā)生前修復系統。下面讓我們看看這三個(gè)關(guān)鍵步驟。

1. 保持全面可視性

當今的動(dòng)態(tài)環(huán)境為攻擊者提供大量潛入網(wǎng)絡(luò )而不被注意的機會(huì )。防御零日威脅需要對網(wǎng)絡(luò )的全面可視性。你需要了解所有資產(chǎn)的位置以及它們如何正常工作，以識別可表明攻擊早期階段的異?；顒?dòng)，這一點(diǎn)至關(guān)重要。持續監控端點(diǎn)、SaaS和云環(huán)境，以及自定義Web應用程序可以提供可視性，以識別潛在漏洞和威脅。同時(shí)可以沿攻擊鏈部署檢測。攻擊者通常會(huì )認為，企業(yè)還沒(méi)有部署資源來(lái)支持這種級別的可視性。

2. 查看漏洞公告資訊

正如經(jīng)驗豐富的偵探高度警覺(jué)地收集信息，安全管理員也應該關(guān)注有關(guān)不斷變化的網(wǎng)絡(luò )威脅的討論。無(wú)休止的攻擊速度和24小時(shí)新聞周期讓你可以了解有關(guān)新漏洞、正在發(fā)展的威脅和數據泄露事故的可用信息。你可能很難查看所有信息，但有些策略可以幫助你過(guò)濾噪聲并獲取所需的信息。

你需要養成習慣，查看漏洞警報和漏洞公告信息。SANS Internet Storm Center、SecLists.org 和National Vulnerability Database等提供警報和漏洞討論、漏洞利用技術(shù)和行業(yè)消息。通常，此類(lèi)論壇中會(huì )討論新威脅的第一個(gè)指標及其目標。這些對話(huà)可以幫助安全團隊在威脅被發(fā)現之前保護易受攻擊的環(huán)境。

另一種保持知情的方式是，在社交媒體上關(guān)注安全內部人士和與安全相關(guān)的話(huà)題。例如，在微博可使用##符號查看熱門(mén)話(huà)題，你可以輕松跟蹤有關(guān)當前網(wǎng)絡(luò )安全的實(shí)時(shí)討論。用戶(hù)還可以圍繞特定主題、供應商和安全內部人員創(chuàng )建自己的內容。

3. 制定補丁修復管理計劃

重要的是，與ITOps開(kāi)發(fā)和安全團隊協(xié)商補丁管理計劃。當供應商發(fā)布零日漏洞修復程序后，這將能夠快速修復關(guān)鍵系統。

對于很多企業(yè)而言，補丁修復管理并不是簡(jiǎn)單的事情。在復雜的現代環(huán)境中，部署補丁有時(shí)會(huì )產(chǎn)生意想不到的影響，例如減慢硬件速度、禁用系統或阻礙業(yè)務(wù)運營(yíng)。修復程序也可能需要大量時(shí)間和資源，因為員工必須測試和部署修補程序，并重新啟動(dòng)系統以完成部署。自動(dòng)化補丁管理可以緩解這些問(wèn)題。這些產(chǎn)品會(huì )從供應商處下載補丁、掃描環(huán)境中是否有缺失的補丁、測試補丁帶來(lái)的影響、自動(dòng)部署補丁，并報告補丁管理過(guò)程的狀態(tài)。

請注意，補丁管理無(wú)法防止零時(shí)差攻擊，但可以減少受到零時(shí)差攻擊的可能性。軟件供應商可能會(huì )在發(fā)布后數小時(shí)或數天內針對嚴重漏洞發(fā)布補丁。有效的補丁管理計劃將幫助安全團隊在攻擊者利用漏洞和破壞系統前部署補丁。

與MDR提供商合作以提供更強大的保護

通常，只有大型企業(yè)擁有足夠的內部資源以有效防御零日威脅。中小型企業(yè)缺乏維持上述措施的人員、工具和專(zhuān)業(yè)知識。對于這些企業(yè)，與托管檢測和響應 (MDR) 提供商合作可能是不錯的選擇。

MDR可以幫助抵御零日攻擊。它強調深度可視性和24/7監控，可幫助企業(yè)識別在其環(huán)境中任何地方發(fā)生的未經(jīng)授權事件。它還通過(guò)持續的威脅情報獲取信息，以隨時(shí)了解企業(yè)網(wǎng)絡(luò )、端點(diǎn)、服務(wù)器和云環(huán)境中的當前威脅和漏洞。當檢測到威脅時(shí)，MDR可為企業(yè)提供指導性專(zhuān)業(yè)知識和人工干預，以調查和修復威脅。