通过减少攻击表面的端点突破预防

端点突破预防

在这个播客中录制了 黑色帽子美国2018年,克里斯卡尔森,产品管理副总裁,云代理平台 素质,通过减少攻击表面来讨论端点突破预防。

这是您方便的播客的成绩单。

欢迎来到这款帮助净安全播客。一世’M质量产品管理副总裁M Chris Carlson,今天我们’通过减少攻击表面来讨论端点突破预防。这实际上是您对安全控制和安全程序如何进行安全控制和安全程序的关键问题,即计算资产,操作系统,Web应用程序具有一定的表面积,并且可以通过攻击者和对手利用该表面区域。以及如何降低该表面区域或攻击表面,使其易于利用和泄露?这真的是改变什么’发生在过去的10年里,甚至可能五年。

因此,在2010年初,2011年初,零日漏洞有很多关注。很多国家州抛弃了,很多大违背出来了,它是零天漏洞,它是零日漏洞,这是未知的未知数。所以,你如何捍卫你不的事情’t know what’有吗?这真的驾驶了很多违规行为。但从那时,对手的Modus Operandi已经转换。其中一些仍在使用零天,但它仍然使用’对于更容易和更经济的,实际上对对手来说更有利可图,特别是有组织的财务收益犯罪,将其集中在新披露的脆弱性上。

这意味着什么?随着漏洞的透露武器武器化的手段,供应商与补丁出来的能力,从该漏洞中创造和利用,在企业有时间和关闭的能力之前,为某种类型的对抗或攻击运动武器武器提出武器。修补它的漏洞。

我认为真正击中我们的最大的事情,真正有世界上涨了 想哭 在2017年的第一部分。从数据的角度来看,已知的关键漏洞每年都在增加,自2010年以来每年都在增加。因此,在任何一年中,每年披露六到七千次漏洞,约为30%至40%它们很高或批评。高或严重的严重性是他们能够远程利用的能力,实际上获得特权升级,可能会执行远程代码,这将让您控制该机器。并且当您能够控制该机器时,可以植入命令和控制数据,您可以更改操作系统,您可以添加本地用户帐户,以及’我们如何承担该控制。

因此,每年六至七千七千漏洞,其中30%至40%是高或严重的严重程度。轮到你了’每年只看起来大约2,500或3,000个漏洞,这就是对手现在关注他们的时间。并且由于几个原因。一个,就像我提到的那样’s easy to do, so it’非常容易武装它,但他们’重新计算企业识别和修复漏洞的企业运营过程坦率地区的事实缓慢。他们依靠内部惯性与IT团队有价值。它’S IT团队不希望通过修补SQL Server或修补Java来危险业务连续性问题。真正增加了窗口的时间,即目标攻击时间框架可以利用漏洞。这真的是去年的一种指示,2017年围绕瓦桑塔克里的第一部分。

可能你听说过wannacry很多。我们在基于Opt-In匿名数据的匿名数据中提供了一些关于发现这些漏洞的数据,以及修补程序的补救生命周期和时间范围。是什么’有趣的是,也许你们都意识到你在2017年3月14日在微软透露了这个脆弱性时。也许你不’T。这只是一个正常的微软脆弱性披露,其中一个,没有高度严重程度,但一个月后,一个月后是一个被发现的永恒的蓝色漏洞利用国家武器化爆炸物,并在野外暴露。我们在与客户的Qualys中看到的是,有一个成熟的补救计划来关闭漏洞的客户,这可以减少攻击表面,能够在正常的月份发布周期中燃烧这些漏洞。那’S成熟公司经历的正常月度周期。因此,从3月14日起,从微软披露宣泄奢侈性,到4月13日,当时蓝色出来时,这些成熟公司有这些运营修复流程,关闭了这些漏洞。

什么时候 永恒的蓝色 出来了,Qualys能够检测并创建新的检测方法来检测这些漏洞,而无需验证,无需验证,我们看到脆弱的检测增加了2倍。但是什么’有趣的是燃烧的​​脆弱性并没有以成熟的公司成熟的相同速度减少。因此,我们帮助削减公司检测更多脆弱的系统,但他们已经烧毁了它们。

当然,当我们都记得5月12日在5月12日,当卫纳卡斯出来横向传播赎金软件时,攻击用户机。用户进入环境,横跨环境划散,那’我们真的在哪里看到紧急情况 修补。紧急修补真的烧掉了那些漏洞,它关闭了窗口。现在有想要的wannacry杀了开关。可能有下一代安全供应商称他们使用人工智能,或一些魔法烟雾信号实际上找到新的变体,但在一天结束时,当你武器攻击已知的漏洞时,你修补这些漏洞,这是最便宜的以及最有效的安全预防形式,或者也是如此 安全卫生.

今年的第一部分,2018年是 崩溃和幽灵。熔点和幽灵作为英特尔和ARM CPU芯片的漏洞实际执行远程代码,读取内存寄存器。那里没有 ’概念的许多证明,或者许多武器化攻击,也许尚未披露,但两周前在7月26日的研究人员创造了一个概念证明’S称为NetSpectre,它是远程利用幽灵的漏洞,并在远程上读取从系统的任意存储器。

所以,现在有漏洞代码的证明。现在有可能有机会或有机会看到更多的武器利用专注于此。因此,我们在咨询客户咨询Qualys的咨询是员工突破预防,而不是依赖于预防技术本身,可能会关闭或可能没有签名,可能有一定的机器学习模型’t真的与下一个攻击矢量一致,但通过减少该攻击表面。为了减少攻击面,你必须做四件事。

第一,您必须拥有所有系统的完整资产清单。您必须知道您的服务器是什么,您的笔记本电脑是您的云计算实例,您的印刷服务器是您的IoT设备。你可以’保护你不喜欢什么’T有能力。能够有资产库存的资产库存。然后你可以在那个之上做出脆弱的管理。检测这些系统中的漏洞,无论是远程利用漏洞,都对设备上的漏洞都具有漏洞的严重性,无论是’S高严重程度或严重程度。然后点三个是如何帮助轻松优先考虑修复和何时的。

你自己必须了解你的组织层次结构。这是一个重要的服务器,是ERP系统的这一部分,这是我的客户数据,就是这是一个外在的Web服务器,这是我的DMZ,是我的源控制器,我的GitHub系统吗?您必须知道自己的重要性和业务关键性的组织层次。但我们有能力在威胁饲料上划分 威胁情报 要知道正在利用什么漏洞,并进一步降低了目标和修复这些漏洞的能力,这些漏洞正在野外积极利用。

那’在行业中真正独特和不同的威胁情报。很多智慧都集中在“here’s哈希,这是一个域名’s serving malware”,但要知道正在利用什么漏洞,野外有公共利用吗?有概念代码的证明吗?它很容易被剥削吗?它是漏洞套件的一部分吗?那真的那么缩小到最终是你必须修复的最狭窄的资产集。你如何修复这些?最终通过修补–修补配置更改,或在某些情况下删除软件。

我们有很多客户,当他们意识到他们在java上有漏洞,Oracle Java在他们的系统上,他们最后一次评估Java在这些系统上执行的。 Java从未在这些系统上运行。它们是默认的负载,他们被置于那里。因此,减少攻击表面的另一种方法不是花费时间来修补它,而是明白应用程序甚至正在使用,并且只是删除应用程序是另一种减少攻击表面的方法。

现在,实际上,您不能总是将攻击表面降低到您没有攻击的一点,或者没有漏洞或没有违规行为。因此,在发生违规的情况下,它是成功的,您如何在他们有机会横向移动之前,如何识别您的环境中的攻击者或对手行为,识别关键资产,调查如何进行exfil数据或准备艾菲尔,那’杀死阶段。那’真的是你能够在攻击者上转动桌子的能力,这是为自己反对他们的对手战术。

所以,例如,如果你’从安全控制中查看预防技术,预防技术必须是100%准确,100%的时间,以防止所有这些违规行为或这些漏洞或这些武器化案件。对于那些案件’重新无法修补漏洞,或通过删除易受攻击的软件来修补漏洞,或者通过将安全控制权力置于适当位置,以便在攻击者上转动表来实现检测和响应能力。通过实现检测和响应能力,将表格上的攻击者上表格置于攻击者 他们 必须是100%隐藏的。 他们 必须始终100%逃避,以避免IT团队和安全团队的检测,这是非常困难的。

在环境中给出的数字排气量:用户登录记录,远程扫描记录,在系统上删除的用户日志记录,创建的本地用户帐户,出站命令和控制。那里’很多数字排气’由试图隐身围绕环境运作的对手创造。所以,如果你’能够从这些系统中录制此遥测,并将它们放到可以分析的平台,然后您可以在理想情况下,检测对抗性活动,技术,策略和程序,理想情况下,在他们之前能够在他们之前损害您的关键数据’能够逐步举行exfiltration,然后在他们可以做到这一点之前。

那里’可以做到这一点的许多类型的技术。一个是端点检测和响应能力,一个是文件完整性监控,另一个是一种被动网络感测检测环境上的流量。但每个申请都会创造自己的孤独。因此,企业的最佳实践是了解如何从代理商中乘坐遥测,从端点遥测,从网络的遥测,并统一到一个公共平台,因此您可以查看所有活动活动的视图’S发生,矩阵抵抗资产的漏洞态势,以及资产的安全配置姿势。

然后,从事件响应和安全操作,现在您可以获得该资产的单个视图,以便识别该资产是安全的,这是资产被损害,如果该资产被用作,则为3个。分段区域横向在网络内移动。因此,有很多领域要真正关注如何通过减少攻击表面来进行端点突破预防。所以,一个重点关注资产库存–了解所有全球LT资产的位置,识别它们,对其进行分类,对其顶部进行漏洞评估,以了解未使用的应用程序中的操作系统和应用程序中的漏洞。

优先考虑根据野外可能性或当前利用的可能性来修复这些漏洞的能力。然后最后,要有一个操作过程,安全性可以用它携手合作,以识别和快速修补这些漏洞和/或从操作环境中删除受感染的软件。但这实际上是减少攻击表面,同时有一个平台来记录端点遥测的能力,录制网络遥测,并识别遭受漏洞的对手活动,这些活动受到漏洞或对手的内部环境中的攻击性,所以可以做出反应并在违反环境中违反或丢失数据之前回复。

听起来很复杂,听起来你需要获得17种不同的产品。那里’在那里有一个常见的集成平台,单组传感器,单个代理商可以将所有这些数据标准化为单个控制台,从安全程序,安全控制和事件响应点更好地利用您的时间视图和安全操作,因此您可以将攻击者的表格变为攻击者,从有限的后卫资源获得更多优势,并整体提高安全姿势,降低企业的风险姿势。

分享这个