Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Sử dụng khả năng hiển thị mạng Đông–Tây để phát hiện các mối đe dọa trong các giai đoạn sau của MITER ATT&CK

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 82

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) gọi “giám sát mạng nội bộ không đầy đủ” là một trong những 10 cấu hình sai mạng phổ biến nhất Năm nay. Thực vậy, phân tích mạng và khả năng hiển thị (NAV) vẫn là một thách thức lâu năm. Khi các ranh giới xung quanh mạng truyền thống biến mất và bối cảnh mối đe dọa đang hoạt động trở nên phức tạp hơn, các doanh nghiệp cần các phương pháp và giải pháp mới để bảo vệ hiệu suất, tính bảo mật và tính liên tục của mình.

Đó là nơi MITER ATT & CK framework được đưa vào sử dụng. Các chiến thuật và kỹ thuật đối thủ mà nó thu thập giúp chúng tôi hiểu và chống lại các mối đe dọa mạng như phần mềm tống tiền cũng như các mối đe dọa dai dẳng nâng cao (APT) có mục tiêu là gây ra thiệt hại nghiêm trọng có thể xảy ra cho doanh nghiệp. Bằng cách tìm kiếm các chiến thuật và kỹ thuật đã biết của các nhóm APT đã biết, Đội ngũ an ninh mạng có thể ngăn chặn các mối đe dọa trước khi chúng chuyển sang tấn công thành công.

Khi phát hiện được ransomware, thông thường đã quá muộn để ngăn chặn thiệt hại. Điều này nhấn mạnh sự cần thiết phải giám sát mạng đầy đủ và liên tục, hiểu biết về các chiến lược phòng ngừa và khả năng hiển thị không bị hạn chế để phát hiện các điểm bất thường không chỉ bao gồm lưu lượng “bắc–nam” giữa trung tâm dữ liệu và khách hàng, mà cả lưu lượng “đông-tây”. giữa các máy chủ là tốt.

Hiểu bối cảnh mối đe dọa và mạng của bạn

Mặc dù khả năng hiển thị mạng hoàn chỉnh là mục tiêu cuối cùng, nhưng nói thì dễ hơn làm. Tổ chức yêu cầu tầm nhìn toàn diện trên toàn bộ hệ sinh thái cung cấp dịch vụ. Giám sát hoạt động mạng để theo dõi và xu hướng sử dụng ứng dụng cũng như lưu lượng truy cập là điều cần thiết. Ngoài ra, bạn phải vượt xa khả năng hiển thị trên toàn doanh nghiệp để triển khai chiến lược hiệu suất và tính khả dụng trên diện rộng, không chỉ bao gồm trụ sở chính, văn phòng từ xa và trung tâm dữ liệu riêng tư mà còn cả trung tâm colocation, trung tâm liên hệ, đám mây công cộng và môi trường SaaS.

Ngoài ra, việc duy trì các dịch vụ kỹ thuật số hiệu suất cao trên các môi trường đám mây lai ngày càng phân tán là rất quan trọng đối với các tổ chức CNTT doanh nghiệp. Với một môi trường phân tán hơn xuất hiện những thách thức mới trong việc cung cấp cho khách hàng và lực lượng lao động kết hợp khả năng truy cập an toàn, bảo mật và tính khả dụng của các ứng dụng và dịch vụ kinh doanh. Trong một số trường hợp, việc quản lý hiệu suất chất lượng trong bối cảnh tăng trưởng lưu lượng truy cập trên các liên kết SD-WAN, các mạch Internet quan trọng, cổng VPN và đám mây lai đã chuyển từ thách thức vận hành sang ưu tiên quan trọng trong kinh doanh.

Ví dụ: nhiều công ty ngày nay đã chuyển vĩnh viễn hàng nghìn nhân viên sang môi trường làm việc tại nhà và đám mây kết hợp trong và sau đại dịch. Khi các công ty chuyển đổi đến lực lượng lao động kết hợp và các mô hình không tin cậy, các nhóm NetOps nhận ra rằng họ cần các công cụ tốt hơn để xác định liệu băng thông SD-WAN có thể xử lý thỏa đáng mức tăng đột biến về lưu lượng truy cập mạng từ xa liên quan đến hàng nghìn người dùng từ xa hay không. Đồng thời, các nhóm SecOps cần mức độ hiển thị tương tự để phát hiện các mối đe dọa và xác nhận các chính sách mạng không tin cậy của họ đang hoạt động như thiết kế.

Cuối cùng, bằng cách hiểu được bối cảnh mối đe dọa của mạng trong trường hợp này, ban quản lý CNTT có thể hiểu và xác định rõ hơn vị trí của những “viên ngọc quý” như máy chủ, ứng dụng và cơ sở dữ liệu chính. Bằng cách đó, khi các mối đe dọa xảy ra, hành vi bất thường sẽ rõ ràng hơn đối với các nhóm NetOps và SecOps.

Trong môi trường biên dịch vụ mở rộng ngày nay, việc trực quan hóa trải nghiệm của người dùng cuối từ xa trong bối cảnh mạng đa cấp và môi trường nhà cung cấp là điều cần thiết để nhanh chóng tách biệt các vấn đề và cung cấp khả năng hiển thị trên tất cả các giai đoạn của MITER ATT&CK.

Đảm bảo khả năng hiển thị mạng cả bên trong và bên ngoài

Đội ngũ CNTT cần khả năng hiển thị từ đầu đến cuối trên toàn bộ mạng doanh nghiệp của họ, từ SD-WAN và các văn phòng từ xa, đến môi trường kết hợp/đa đám mây, đến các trung tâm dữ liệu và co-los. Khi thiếu khả năng hiển thị, các nhóm SecOps không có đủ thông tin chuyên sâu về tất cả các giai đoạn của MITER ATT&CK.

Môi trường không tin cậy hiện đại giả định rằng mạng đã bị xâm phạm. Nghĩa là, các giai đoạn ban đầu của MITER ATT&CK — trinh sát, phát triển tài nguyên và truy cập ban đầu — đã diễn ra. Chỉ riêng khả năng hiển thị mạng Bắc-Nam hiện không đủ để theo dõi chuyển động nội bộ của kẻ tấn công, hiện đang tiến triển qua các giai đoạn thực thi, kiên trì, leo thang đặc quyền, trốn tránh phòng thủ, truy cập thông tin xác thực, khám phá, di chuyển ngang và thu thập sau này.

Để phát hiện hành vi xâm nhập ở các giai đoạn này, nhóm SecOps cần có khả năng hiển thị lưu lượng truy cập theo hướng đông-tây. Với mức độ hiển thị thông tin liên lạc giữa máy chủ-máy chủ này, các nhóm SecOps có thể phát hiện các hành vi lưu lượng truy cập bất thường liên quan đến các máy chủ quý giá của họ. Trong trường hợp xảy ra một cuộc tấn công bằng ransomware, nhiều chiến thuật và kỹ thuật MITER ATT&CK diễn ra trước quá trình lọc và mã hóa dữ liệu thực tế.

Các cuộc tấn công kiểu này nhấn mạnh sự cần thiết phải giám sát mạng một cách đầy đủ, liên tục, hiểu biết về các chiến lược phòng ngừa và khả năng hiển thị không bị hạn chế để phát hiện những điểm bất thường bao gồm lưu lượng truy cập từ mọi hướng. Bằng cách sử dụng cả giải pháp hướng tới bên trong và bên ngoài, các nhóm CNTT, NetOps và SecOps có thể triển khai giám sát hiệu suất tốt nhất trên cả hai thế giới.

Việc tận dụng dữ liệu thu được từ cả hai dạng lưu lượng gói mạng giúp giải quyết các vấn đề khó tách biệt trên các môi trường kết hợp và từ xa. Cần có sự kết hợp giữa khả năng hiển thị mạng bắc-nam và đông-tây cho các giai đoạn cuối của MITER ATT&CK - chỉ huy và kiểm soát, lọc và tác động.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.