如何为我的业务选择攻击检测解决方案?

在世界各地,组织面临着巨大的 增加网络风险。最近的一项研究表明,31%的公司现在每天至少经历一次网络攻击,这是一个趋势,预计被飙升为网络犯罪分子,雇用AI和自动化来增加他们攻击的复杂性和有效性。

要为您的业务选择合适的攻击检测解决方案,您需要考虑各种因素。我们与几个行业专业人士谈到了他们对这个话题的见解。

大卫巴蒂,主要工程师, FireeEye.

选择攻击检测解决方案选择攻击检测解决方案时,没有单一产品将提供检测和防御当前高级威胁景观所需的足够检测。防御威胁演员的整体方面需要技术,专业知识和情报。

该技术应该是综合技术的平台,在每个条目中提供检测,即威胁演员可以使用诸如电子邮件,端点,网络和公共云。这些不应该是不同的技术,这些技术并不能够在全面捍卫组织中。

我们必须使用能够缩减对威胁演员的技术,这些演员具有非常大量的资源。该技术还应受到从前线培养的智力驱动的,入射响应者具有无与伦比的优势。还必须记住,剥离后,威胁演员伪装成您自己的员工,使其难以从网络或终点的非合法活动中了解合法性。

这是智慧和专业知识对于确定威胁演员在组织内运营时非常有价值。能够识别威胁演员“呼叫卡”和潜在的下一次移动,这是至关重要的。虽然许多解决方案将声称他们捍卫高级威胁,但重要的是要了解供应商拥有的经验以及如何将其产品纳入其产品。

Nick Ellsmore.,全球战略负责人,咨询&专业的服务, 信赖Wave.

选择攻击检测解决方案在考虑攻击检测解决方案以实现 - ID,IPS,EDR,SIEM,UEBA等时,还可以选择许多路由。但为您的组织选择解决方案的真实键是理解的“fit-for-purpose”必需的。以下是一个框架,用于识别您的产品选择需要服务的目的:

  • 了解数据使用:在发生攻击后,您需要考虑解决方案将在哪里和向谁发送警报—收件人会如何处理该信息。如果您的收件人无法操作警报,则更加友好的东西将是一个更好的选择。
  • 了解建筑和用例:以直接连接的Pandemy-eRA工作 - 来自家庭模型,往往将受到挑战的网络为中心的解决方案。如果端点是您的周长,它可能是,您需要终点控件。
  • 了解你的敌人:威胁建模将始终有助于控制选择。重要的是要考虑您的攻击最有可能来自的地方。例如,如果内幕威胁是您的主要关注点,UEBA将是一个很好的选择;如果你’期待您的Web应用程序是Prime目标,Ueba赢了’t help.
  • 了解解决方案覆盖范围:如果您想要完整的安全覆盖范围,您需要多种解决方案。为避免差距,您需要良好地了解每个解决方案。

克里斯托弗·菲尔德,产品营销总监, 北极狼

选择攻击检测解决方案为您的组织选择检测产品时,重要的是要记住一个尺寸很少适合所有。这就是为什么了解您的安全优势和缺点,并找到一个将根据您的环境定制的产品。

首先考虑你有多熟练的人。这有助于确定您是否能够手动评估和响应每个检测的位置,或者您是否愿意信任您代表您自动操作的产品。

除此之外,我们建议选择具有多种检测机制的产品,可以定制和调整。这将允许您正确地塑造产品对环境的检测,并消除具有误报的不堪重负。

另一个关键元素是确保产品能够覆盖您的完整架构,因为整体可见性至关重要。仅涵盖操作系统或网络段的一部分的产品可能导致错过的检测。

最后,熟悉产品与现有技术堆栈有效的方式。选择一个可以与已经使用的工具集成的产品,而不是屏蔽的工具。这将允许您使用其他遥测来源进行检测和简化您的调查过程。

Anuj Goel.,CEO, CYWER.

选择攻击检测解决方案现代组织在一天中收到的威胁情报的数量是一个人类或小型安全团队来管理的压倒性。支持安全计划的关键是找到一个解决方案,它在历史上汇集在一起​​,以促使威胁反应周围的合作,并使用自动化来提高安全分析师的生产力。

企业应该寻找提供的解决方案:

  • 一个网络融合中心:许多解决方案都作为一个不同的硅酸盐工具提供飙升。寻求充分利用安全解决方案的组织应该选择一个供应商,提供结束到最终威胁管理能力,例如,案例管理,SOAR,实时警报,与威胁情报自动化相结合,因为这些工具提供了更大的可视性安全操作并允许客户与合作伙伴之间共享的信息,以加快威胁响应过程。
  • 威胁情报的自动化:随着威胁指标的数量继续增长,威胁英特尔分析师已经不堪重负,花时间在多次重复相同的任务时。安全解决方案中的自动化功能允许团队将资源重新分配到更多按下需求,例如事件响应和应用程序安全性。
  • 威胁共享的协作工具:网络安全社区的合作已成为解决越来越多的网络攻击威胁的经过验证的战略。企业应选择建立途径的平台,以便协作,并提供最终威胁可见性。

SVP产品,SVP产品, 帕洛阿尔托网络

选择攻击检测解决方案安全团队需要一个检测和响应平台,从威胁狩猎和检测到分类,调查和响应来缓解安全操作的每个阶段。

理想的解决方案应支持与较低风险和简化操作的协调工作的能力:

  • 伟大的威胁预防:必须从摇滚固体威胁预防开始,阻止可以自动阻止的99%+攻击。凭借最佳威胁预防,团队可以专注于揭示和停止隐秘的威胁,而不是追逐已经绕过防御的机会主义攻击。
  • 全面,丰富的数据:检测和调查威胁需要整个组织的完全可见性,包括所有网络,端点和云资产。
  • AI和机器学习:确定未知的威胁并跟上快速发展的攻击技术,检测和响应平台必须支持机器学习和分析。机器学习模型恶意文件的独特特征和基线预期的用户行为来检测复杂的攻击。
  • 简化的跨数据洞察调查:要快速确认攻击,分析师需要可行的警报,具有丰富的调查细节。通过拼接网络和端点数据,它们可以查看来自任何源的警报的根本原因。事件管理提供了攻击的完整画面,而事件评分有助于分析师专注于重要的威胁。

通过这些集成功能,组织可以有效减轻攻击并保持用户和数据安全。

产品管理总监Ed Martin, secureworks.

选择攻击检测解决方案各种尺寸的公司继续努力,检测和响应威胁,因为对手改编了他们的策略更加复杂,更难地检测。

管理遗留工具如安全信息和事件管理(SIEM)和Next-Gen Siem生成的遗留工具可以压倒团队,并且可能限制高级威胁的可见性。根据企业战略集团(ESG),30%的多个行业的IT /网络安全专业人员调查觉得这些工具在识别未知威胁方面并不有效。

这引出了许多组织来考虑角色扩展检测&响应(XDR)可以加速Secops效率和SoC现代化。这一想法是,与暹粒不同,在大卷中摄取达娜并要求分析师资源时间来识别真正的威胁,XDR可以通过过滤噪声来加速威胁检测,以提高重要的威胁的可见性。

要超出和脱落机动对手,公司需要查找基于云,可扩展的解决方案,这些解决方案越过整个生态系统 - 云,端点和网络。最后,找到一个对网络安全的合作方式的合作伙伴很重要。人类智能,机器学习和深度学习算法的结合是在当今变化威胁景观中的新攻击之前所需的所需。

首席执行官Ahmed Rubaie, Anomali.

选择攻击检测解决方案攻击者希望扰乱业务,访问数据和犯罪欺诈。只是知道他们的马刺队只是一部分的战斗。有效的攻击检测解决方案必须提供多种功能,其中包括:

能见度。对于在互联网的所有层中运行的综合对手,有一系列综合性。解决方案应为深层和暗网络,APT活动提供窗口,并使用网络钓鱼和其他简单技术的较较为复杂的演员运行的竞选活动。

检测。当您的组织被定位以及攻击者穿透您的环境时,它是至关重要的,因为速度和准确性在于限制与违规和攻击相关的成本至关重要。

一体化。想象一下,拥有最准确的攻击检测解决方案,但无法回应?企业平均部署了45个安全解决方案,其中包括从防火墙到电子邮件安全网关的所有内容。随着能够整合到现有技术的能力,您的组织可以自动化响应,并进一步减少威胁演员进入的机会。

XDR.。乍一看,这似乎似乎不是“能力”。但是,安全即将遇到重大运动进入扩展检测和响应(XDR),这将标志着攻击检测和响应的新时代。您投资的任何技术都应该认识到这种迫在眉睫的趋势。

汤姆van de Wiele,主要安全顾问, F-Secure

选择攻击检测解决方案选择攻击检测解决方案不是单尺寸适合的过程,需要了解您的业务运营,其依赖性和未来的技术路线图。这意味着了解保护和反对谁。

您可以更好地了解自己的业务以及它所需的要求,您的选择越多了解,可以在哪里以及如何托管攻击检测服务可能是有益的。买方需要知道如何以及潜在的攻击可能表现出来,如果攻击者成功,那么业务的影响是什么。

一旦建立,它需要确定内部可以做的事情以及与涉及战略合作伙伴或托管服务相比所需的技术,基础设施和培训的总体拥有成本将是多少。攻击检测服务招聘专家,从特定的基础设施和技术选择中受益,否则可能太昂贵。

雇用服务只是等式的一部分,不会自动导致能够更好地响应攻击。最终,成功将由您的伴侣整合到现有流程中的成功 - 需要时间和定期攻击模拟培训的东西。这与特定的危机管理练习一起最终将尽最大限度地确定您的成功,并及时对真正的攻击者响应,限制了影响和损害。

分享这个