产品搜索
产品分类
 
网络安全的下一个重点指标:平均强化时间
作者:admin    发布于:2024-03-05 09:17   
摘要:假设攻击者武器化一个新漏洞的平均时间为 7 天,那么作为防御者的你,当你发现新的漏洞利用时k7体育网站,通常只有 72 小时进行系统强化加固。 平均而言k7体育网站,企业安全团队修复一个漏洞所需的时间比攻击者武器化和利用一个漏洞所需的时间长 15 倍。如

  假设攻击者武器化一个新漏洞的平均时间为 7 天,那么作为防御者的你,当你发现新的漏洞利用时k7体育网站,通常只有 72 小时进行系统强化加固。

  平均而言k7体育网站,企业安全团队修复一个漏洞所需的时间比攻击者武器化和利用一个漏洞所需的时间长 15 倍。如果武器化需要 7 天,那么修补则需要 102 天。

  漏洞一经披露,你便加入一场赛跑k7体育网站,不能抢先 “补牢”,便会 “亡羊”(漏洞被利用)k7体育网站。事实证明,我们的对手以博尔特的冲刺速度进行武器化,而我们大多数人在进行端点强化和应用关键补丁时,依然是离退休干部马拉松比赛的节奏张紧轮k7体育网站k7体育网站k7体育网站。

  FireEye 2018 年 1 月发布亚太地区网络攻击报告指出,全球地区网络攻击 “驻留时间(攻击者入侵网络到入侵被检测)”中位数为 99 天,亚太地区的网络攻击 “驻留时间” 中位数为172天。欧洲、中东和非洲的攻击驻留时间中位数为 106 天,美国为 99 天k7体育网站k7体育网站。

  我们已经在现实中一次又一次地看到这种 “龟兔赛跑”(兔子不打盹)的局面上演,而且无数次血淋淋的事故告诉我们,龟速往往会导致灾难性的结果。

  例如k7体育网站k7体育网站,微软在 2019 年 5 月的安全修复程序中修补了 BlueKeep,截至 2019 年 12 月,仍有 700,000 多台计算机处于风险中k7体育网站。同时,根据 Sophos 最近发布的关于 WannaCry 演变的报告表明,尽管补丁已经发布了两年多k7体育网站,依然有大量机器尚未安装补丁,WannaCry 不仅没有灭绝k7体育网站k7体育网站,而且 “香火旺盛”磅秤k7体育网站,不断“繁衍生息”k7体育网站。上图是 Sophos 对 2019 年 8 月全球客户设备的调查数据k7体育网站,可以看出 WannaCry 的变种攻击在美国k7体育网站、印度、秘鲁、菲律宾等全球多个国家依然非常活跃。

  一方面,端点安全革命的终点站不是云原生端点检测和响应 (EDR) 或者减少驻留时间。实际上k7体育网站,这些只是起点。不可否认k7体育网站,驻留时间是一个非常重要的安全指标,对不可接受的驻留时间宣战是第一波战斗。但这只是序幕k7体育网站,端点安全的下一个战场将 “向左移动”k7体育网站,从大幅缩短暴露时间开始,同时引入一个非常重要的新指标:平均强化时间 (MTTH)k7体育网站。

  假定武器化的平均时间为 7 天,这期间会产生大量武器化利用,例如导致 Equifax 泄露 1.43 亿美国用户数据的臭名昭著的 Apache Struts 漏洞k7体育网站,安全团队在应对蜂拥而来的新漏洞利用技术之前端面压力角,实际上只有 72 个小时的时间来加固系统。而当出现零日漏洞时k7体育网站,最佳的响应窗口是在漏洞披露后的 24 小时内k7体育网站。尽管 24 小时听上去有点 “强人所难”阻封流体,但这确实是达成入侵前防御效果所必须的速度。

  超出 24 小时的阈值k7体育网站,强化就成了一种被动工作k7体育网站,几乎没有太多预防性价值。为了取得实实在在的成果k7体育网站,企业需要聚焦端点强化的速度。24/72 MTTH 阈值将是企业加速制定k7体育网站、测试和部署漏洞缓解措施的下一个重要基准k7体育网站。

  事件响应阈值并不是一个新概念。CrowdStrike 根据观察到的攻击速度 “Breakout Time”,提出了 1/10/60(分钟)的高效能事件响应规则k7体育网站。因为最先进的国家黑客从“滩头阵地” 横向移动/攻击的平均时间只有不到 2 小时k7体育网站,防御者的反应速度必须达到:1分钟检测k7体育网站、10分钟理解基准节圆柱面k7体育网站、1个小时内将攻击遏制在入侵点有效拉力。

  上面这个响应时间框架,面向的是当下攻击面不断扩大,威胁日益复杂的趋势,能够达到 1/10/60 响应速度的企业更有可能在与黑客的竞赛中胜出,远离主流媒体的头条新闻悬架。

  但是,在事件响应的 1/10/60 时间端之前和之后我们该怎么办?检测之前的战役该怎么打?我们如何通过前置阶段的工作改变最终的安全事件结局?

  24/72 MTTH 强化方法与 1/10/60 响应方法相辅相成k7体育网站,相互支持。24/72 可帮助安全团队确保按照业务需求的速度主动进行加固,并消除检测系统中的所有噪音,以便安全团队可以更有效地运行 xDR 系统,对告警也更有信心陀螺仪,并使团队能够专注于更复杂更致命的攻击。同时,1/10/60 的信息也有助于强化工作的优先级排序k7体育网站k7体育网站,例如 EDR 调查中发现的数据有助于发现那些更值得关注的威胁平均修复时间k7体育网站。

  将 24/72 MTTH 与 1/10/60 相结合,企业就可以大规模地对响应和缓解措施进行优先级排序,并及时修补漏洞。在武器化的 “payload快递员” 敲门时,你的 EDR 以及安全团队已经完全就绪。

  通过在补丁更新中采用 24/72 经验法则k7体育网站,安全团队可以提高运营效率k7体育网站,同时建立漏洞管理的最佳实践,从而更好地保护端点免受攻击侵害k7体育网站。24/72 是一项结果指标k7体育网站,可帮助管理和战术团队实现可持续的防御优势k7体育网站。让我们用强大的主动防御技能k7体育网站,调低 EDR 告警的音量。返回搜狐,查看更多

无法在这个位置找到: footer2.htm