解決歧義是網(wǎng)絡安全不可否認的一部分。隨著網(wǎng)絡攻擊者不斷改變策略,安全團隊必須不斷適應以抵御新威脅。這包括檢查新出現(xiàn)的問題,就如何最好地解決這些問題建立假設,以及實施早期檢測策略。Fortinet FortiNDR with FortiNDR Cloud 既是此類努力的結晶,也是企業(yè)為應對低速和慢速攻擊創(chuàng)造公平競爭環(huán)境的開端。它可以作為基于云、Guided-SaaS 或內部部署的方式交付,并為安全運營團隊當今面臨的五個關鍵問題提供解決方案,包括:
一、延長攻擊者停留時間
十多年來,對手的停留時間一直遠遠超出可接受的范圍。據(jù)IBM稱,2022 年平均需要 277 天才能發(fā)現(xiàn)并遏制違規(guī)行為。這為攻擊者在入侵后提供了充足的機會來查找和竊取組織最敏感的數(shù)據(jù),通常是為了勒索贖金。
安全團隊經常求助于網(wǎng)絡檢測和響應 (NDR) 來解決這個問題,因為 NDR 通常通過分析網(wǎng)絡元數(shù)據(jù)來補充EDR和SIEM工具,以提供圍繞網(wǎng)絡活動急需的上下文。元數(shù)據(jù)可以提供任何給定網(wǎng)絡事務的用戶名、主機名、域和狀態(tài)等信息。NDR 將元數(shù)據(jù)與人工智能 (AI) 和機器學習 (ML) 相結合,讓 SOC 團隊能夠快速分析大量數(shù)據(jù)。如 SUNBURST 事件所示,還建議安全運營團隊將數(shù)據(jù)保留 9 到 12 個月,以準確識別初始訪問并了解違規(guī)的全部范圍。
在當今時代,磁盤存儲和云基礎設施使我們能夠智能地保留數(shù)據(jù),那么為什么 NDR 工具仍然只保留這么短的時間?FortiNDR 通過提供長達 365 天的豐富網(wǎng)絡元數(shù)據(jù)打破常規(guī),因此安全團隊有更多數(shù)據(jù)進行深入分析,解決當今高級攻擊者表現(xiàn)出的延長駐留時間問題。
二、NDR中缺少“R”
當然,從豐富的元數(shù)據(jù)中進行初步檢測只是一個開始。盡管在安全技術上的支出創(chuàng)歷史新高,但52% 的 SOC 分析師表示 需要訪問更多開箱即用的內容(例如劇本和規(guī)則)以緩解常見的痛點,因為他們在威脅調查上花費的時間越來越多,同時復雜性、警報疲勞和工作量增加。大多數(shù) NDR 解決方案通常遵從其他工具來執(zhí)行檢測分類、搜尋或調查,因為它們缺乏內置的開箱即用功能。
指導手冊和規(guī)則等開箱即用的內容應該能讓 SOC 團隊的工作更加輕松。例如,F(xiàn)ortiNDR 指導手冊可幫助調查人員根據(jù)真實世界的行為采取正確的步驟來識別攻擊者。調查人員可以簡單地選擇“Log4j Hunting”劇本,并使用包含最新威脅情報和檢測的預構建查詢立即創(chuàng)建調查。FortiGuard Applied Threat Research 根據(jù)最近的攻擊者策略不斷更新、維護和創(chuàng)建新的劇本,以確保劇本與最新的威脅檢測功能保持同步。
FortiNDR 由高級威脅研究人員開發(fā)和構建,結合 AI/ML 觸發(fā)事件,提供豐富的分類、搜索和調查工具,可加快檢測和響應速度。實體和分面搜索、基于多個事件關聯(lián)的觀察以及 MITRE ATT&CK 映射等功能可幫助安全團隊更快、更全面地響應威脅。
三、專業(yè)知識有限
第三個挑戰(zhàn)源于全球網(wǎng)絡安全技能缺口和人才短缺。雖然安全團隊正在與時間賽跑以保護他們的組織,但他們并不總是具備如何抵御最新網(wǎng)絡策略和技術的技能、時間或知識。FortiNDR 通過用虛擬或面對面的專業(yè)知識補充 AI/ML 分析功能來支持面臨技能差距挑戰(zhàn)的安全團隊,以確保他們最有能力檢測和阻止復雜的攻擊。
由虛擬安全分析師 (VSA) 提供的虛擬專業(yè)知識分析和調查新出現(xiàn)的攻擊,而現(xiàn)場專業(yè)知識則由技術成功經理 (TSM) 團隊提供,他們回答有關調查結果、調整配置和優(yōu)化的問題部署。此外,F(xiàn)ortiNDR 由高級威脅研究人員維護,他們管理機器學習模型并為推薦的調查提供開箱即用的劇本。
四、合作調查
雖然安全團隊受益于使用針對保留的豐富網(wǎng)絡元數(shù)據(jù)的高級查詢來調查和尋找威脅的能力,但他們可以通過并行運行查詢并允許全球 SOC 成員共同分析結果來進一步加快響應速度。
具有并行搜尋功能的 FortiNDR 使安全專業(yè)人員能夠協(xié)調其全球 SOC 團隊的威脅搜尋和調查工作。例如,位于美國的 SOC 分析師可以創(chuàng)建調查,而歐洲的同事可以同時復制該調查并更改或添加變量和查詢。這些結果通過 UI 共享,每個分析師都可以在 UI 中根據(jù)自己的評估繼續(xù)調整和擴展調查結果。這是一種其他 NDR 供應商無法比擬的協(xié)作調查方法。
五、孤立的方法增加了復雜性
鑒于許多組織的復雜、多供應商安全基礎設施,大多數(shù)安全團隊發(fā)現(xiàn)很難快速、全面地響應網(wǎng)絡攻擊,即使在確定攻擊后也是如此。要降低這種復雜性,整合和集成是關鍵。
FortiNDR 產品與Fortinet Security Fabric的多個組件和第三方解決方案無縫集成,利用 AI 和 ML 的強大功能來改進威脅的檢測、響應和遏制。FortiNDR 與 FortiGate 集成,在啟動 FortiGate 上的內部 IP 塊時發(fā)出異常活動警報。此外,F(xiàn)ortiNDR 攝取文件穿越防火墻進行深度學習分析,以防止用戶下載惡意組件。此外,F(xiàn)ortiNDR 與FortiSOAR集成,以實現(xiàn)協(xié)調的跨產品響應和更快的修復。
成功部署 NDR 的注意事項
這五個挑戰(zhàn)只是安全專業(yè)人員每天面臨的幾個例子,但在購買 NDR 解決方案時,還有一些額外的注意事項:
1. 云環(huán)境的可見性:NDR 的強大功能是提供跨網(wǎng)絡的可見性和 AI/ML 分析,而不管底層基礎設施如何。您的解決方案應該能夠分析公共云和私有云以及 IoT/OT 環(huán)境中的網(wǎng)絡流量。供應商應支持這些環(huán)境的任何配置,并為您的安全團隊提供工具來調查和響應混合網(wǎng)絡中的惡意行為。
2. AI/ML 不是唯一的答案:雖然 AI/ML 功能是 NDR 吸引力的重要組成部分,但僅依賴 AI/ML 的工具往往會產生白噪聲。NDR 供應商應在其 AI/ML 方法與人工和實用分析之間取得平衡,以幫助減少誤報。
3. 降低復雜性的集成:NDR 通常用作 EDR 和 SIEM 的補充技術,應該與這些解決方案雙向共享檢測和觀察結果,從而實現(xiàn)對已知和未知網(wǎng)絡威脅的早期檢測和協(xié)調響應。
