远程工作环境中的威胁检测

员工已经证明他们居家办公也可以保持较高的生产效率。随着我们迈向新常态，即将发生的一项明显变化就是更加灵活、对远程友好的工作策略。在此情况下，安全运营团队需要一种可持续的长期战略，以在具有新盲点且几乎没有任何剩余外围的网络上保持可视性和威胁检测。

通过加倍增加集中式安全分析，特别是网络钓鱼、端点、应用和云安全用例，安全分析人员可以获得新的洞察力，弥补丢失的可视性并最终帮助增强组织的安全态势。在如今安全团队由于远程工作而精疲力尽的时代，组织可以考虑部署具备以下优势的 SIEM 解决方案：能够在任何环境（包括 SaaS 或公有云）中运行、能够提供预构建用例，让检测变得更轻松并提高总体价值，同时能够提供与 SOAR 解决方案（如 Resilient）的紧密集成，进而加快端到端威胁检测、调查和响应周期。

 异常的用户和帐户活动，例如异常的身份验证活动、来自不同地理位置的多次登录或可疑的根用户活动。

· 异常的工作负载活动，包括异常的 API 调用、可疑的容器活动或访问资源的非标准服务。

· 高风险配置更改，例如可疑的 IAM 或安全组策略更改、S3 存储区策略更改或新证书或更改的证书。

· 可疑的资源更改，例如非标准的虚拟私有云 (VPC) 或 EC2 实例，或者 EC2 实例的数量或大小的快速增加。

尽管许多云提供商都可提供自己的原生安全功能，但其产品却无法集中查看跨环境的安全数据，导致分析人员不得不在复杂的数据孤岛中工作。如今，有 62% 的公有云采用者使用两个或多个公有云；平均而言，每个组织使用 4.8 个独立的公有云和私有云环境。对于疲于应对不断增长的工作负载的分析师来说，获得集中式的云可视性以及在威胁通过不同环境时对其进行自动分析、检测和跟踪的能力至关重要。能够跨云和内部环境摄入和分析事件和流数据的集中式 SIEM 解决方案，可帮助分析师在威胁升级并造成严重损害之前快速、更有效地检测威胁。

应用活动的监控应是团队的主要重点，因为与监控端点不同，组织即使在网络之外也仍然可以控制应用活动。应用监控还有助于暴露网络中已存在的攻击者。应用监控可以在多个级别上执行：

· 通过身份即服务 (IDaaS) 解决方案（例如 Cloud Identity Connect 或 Okta 登录时。

· 直接通过 SAP、SalesForce.com 或 Office 365 等应用登录、注销时。

· 通过 Zscaler 等云访问安全代理 (CASB) 解决方案来监控谁正在访问或试图访问哪些应用。

· 直接在应用堆栈内，包括 OS 容器编排平台（如 Kubernetes）、容器本身和这些环境中的 API 调用。

除了在每个级别上监控和分析事件之外，网络监控还可以提供有关应用数据如何在网络中流动、哪些人员和对象连接到了这些系统以及是否发现了异常流量的详细洞察力。这一新增的洞察层可以增强现有的可视性和洞察力，帮助安全团队更快发现一些可疑活动，例如受害帐户和横向移动数据渗透尝试等。此外，当攻击者获得足够的控制权，进而成功地使用检测规避技术（例如禁用日志记录）时，网络监视可能会特别有用。作为高度可靠的事实来源，网络数据可以显示系统和应用何时处于联机状态，即使它们没有发送日志，也可以继续提供针对这些系统和应用运行状况的可视性。

当员工几乎完全转向远程工作模式时，他们都会面临诸多挑战。之前采用办公室工作模式的组织需要迅速弄清楚如何为远程员工启用核心服务和应用，而且在某些情况下，还需要首次部署虚拟专用网络。支持远程工作模式的公司会发现虚拟专用网络 使用量激增，网络不堪重负且速度大大降低，从根本上迫使用户不得不脱离 虚拟专用网络 来维持生产效率。从安全角度来看，两种情况都在端点和用户活动方面引入了大量盲点。

若要重新获得可视性，安全团队可以结合采用端点操作系统 (OS)、虚拟专用网络 和端点检测与响应 (EDR) 事件来进行威胁检测。借助 Windows、macOS 和 Linux 的本地日志记录，安全团队可以洞悉端点级别发生的情况。通过使用 Sysmon 扩展 Windows 事件日志记录，团队可以获得更深入的威胁相关洞察力，例如流程活动和域名系统 (DNS) 请求。

由于这种被迫进行的尝试，许多专家和管理人员现在预测：这种灵活的居家办公策略将会继续存在。Gartner 的研究表明，有 41% 的员工将会继续居家办公，而在新冠疫情发生之前这一比例只有 30%。此外，已有 13% 的首席财务官 (CFO) 开始削减用于办公空间的房地产支出。随着远程工作模式的持续，安全专家需要采用相应的方法来维持已在消失多年的网络外围中几乎不存在的可视性、监控和威胁检测。

尽管存在新的盲点，但在以下四个关键领域中，集中式安全信息和事件管理 (SIEM) 解决方案可以帮助安全团队重新获得并提升可视性与监控。

（编辑：南昌站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!