安全运营团队面临的关键问题和解决方案

解决歧义是网络安全不可否认的一部分。随着网络攻击者不断改变策略,安全团队必须不断适应以抵御新威胁。这包括检查新出现的问题,就如何最好地解决这些问题建立假设,以及实施早期检测策略。Fortinet FortiNDR with FortiNDR Cloud 既是此类努力的结晶,也是企业为应对低速和慢速攻击创造公平竞争环境的开端。它可以作为基于云、Guided-SaaS 或内部部署的方式交付,并为安全运营团队当今面临的五个关键问题提供解决方案,包括:

安全运营团队面临的关键问题和解决方案-南华中天

一、延长攻击者停留时间

十多年来,对手的停留时间一直远远超出可接受的范围。据IBM称,2022 年平均需要 277 天才能发现并遏制违规行为。这为攻击者在入侵后提供了充足的机会来查找和窃取组织最敏感的数据,通常是为了勒索赎金。

安全团队经常求助于网络检测和响应 (NDR) 来解决这个问题,因为 NDR 通常通过分析网络元数据来补充EDR和SIEM工具,以提供围绕网络活动急需的上下文。元数据可以提供任何给定网络事务的用户名、主机名、域和状态等信息。NDR 将元数据与人工智能 (AI) 和机器学习 (ML) 相结合,让 SOC 团队能够快速分析大量数据。如 SUNBURST 事件所示,还建议安全运营团队将数据保留 9 到 12 个月,以准确识别初始访问并了解违规的全部范围。

在当今时代,磁盘存储和云基础设施使我们能够智能地保留数据,那么为什么 NDR 工具仍然只保留这么短的时间?FortiNDR 通过提供长达 365 天的丰富网络元数据打破常规,因此安全团队有更多数据进行深入分析,解决当今高级攻击者表现出的延长驻留时间问题。

二、NDR中缺少“R”

当然,从丰富的元数据中进行初步检测只是一个开始。尽管在安全技术上的支出创历史新高,但52% 的 SOC 分析师表示 需要访问更多开箱即用的内容(例如剧本和规则)以缓解常见的痛点,因为他们在威胁调查上花费的时间越来越多,同时复杂性、警报疲劳和工作量增加。大多数 NDR 解决方案通常遵从其他工具来执行检测分类、搜寻或调查,因为它们缺乏内置的开箱即用功能。

指导手册和规则等开箱即用的内容应该能让 SOC 团队的工作更加轻松。例如,FortiNDR 指导手册可帮助调查人员根据真实世界的行为采取正确的步骤来识别攻击者。调查人员可以简单地选择“Log4j Hunting”剧本,并使用包含最新威胁情报和检测的预构建查询立即创建调查。FortiGuard Applied Threat Research 根据最近的攻击者策略不断更新、维护和创建新的剧本,以确保剧本与最新的威胁检测功能保持同步。

安全运营团队面临的关键问题和解决方案-南华中天

FortiNDR 由高级威胁研究人员开发和构建,结合 AI/ML 触发事件,提供丰富的分类、搜索和调查工具,可加快检测和响应速度。实体和分面搜索、基于多个事件关联的观察以及 MITRE ATT&CK 映射等功能可帮助安全团队更快、更全面地响应威胁。

三、专业知识有限

第三个挑战源于全球网络安全技能缺口和人才短缺。虽然安全团队正在与时间赛跑以保护他们的组织,但他们并不总是具备如何抵御最新网络策略和技术的技能、时间或知识。FortiNDR 通过用虚拟或面对面的专业知识补充 AI/ML 分析功能来支持面临技能差距挑战的安全团队,以确保他们最有能力检测和阻止复杂的攻击。

由虚拟安全分析师 (VSA) 提供的虚拟专业知识分析和调查新出现的攻击,而现场专业知识则由技术成功经理 (TSM) 团队提供,他们回答有关调查结果、调整配置和优化的问题部署。此外,FortiNDR 由高级威胁研究人员维护,他们管理机器学习模型并为推荐的调查提供开箱即用的剧本。

四、合作调查

虽然安全团队受益于使用针对保留的丰富网络元数据的高级查询来调查和寻找威胁的能力,但他们可以通过并行运行查询并允许全球 SOC 成员共同分析结果来进一步加快响应速度。

具有并行搜寻功能的 FortiNDR 使安全专业人员能够协调其全球 SOC 团队的威胁搜寻和调查工作。例如,位于美国的 SOC 分析师可以创建调查,而欧洲的同事可以同时复制该调查并更改或添加变量和查询。这些结果通过 UI 共享,每个分析师都可以在 UI 中根据自己的评估继续调整和扩展调查结果。这是一种其他 NDR 供应商无法比拟的协作调查方法。

安全运营团队面临的关键问题和解决方案-南华中天

五、孤立的方法增加了复杂性

鉴于许多组织的复杂、多供应商安全基础设施,大多数安全团队发现很难快速、全面地响应网络攻击,即使在确定攻击后也是如此。要降低这种复杂性,整合和集成是关键。

FortiNDR 产品与Fortinet Security Fabric的多个组件和第三方解决方案无缝集成,利用 AI 和 ML 的强大功能来改进威胁的检测、响应和遏制。FortiNDR 与 FortiGate 集成,在启动 FortiGate 上的内部 IP 块时发出异常活动警报。此外,FortiNDR 摄取文件穿越防火墙进行深度学习分析,以防止用户下载恶意组件。此外,FortiNDR 与FortiSOAR集成,以实现协调的跨产品响应和更快的修复。

成功部署 NDR 的注意事项

这五个挑战只是安全专业人员每天面临的几个例子,但在购买 NDR 解决方案时,还有一些额外的注意事项:

1. 云环境的可见性:NDR 的强大功能是提供跨网络的可见性和 AI/ML 分析,而不管底层基础设施如何。您的解决方案应该能够分析公共云和私有云以及 IoT/OT 环境中的网络流量。供应商应支持这些环境的任何配置,并为您的安全团队提供工具来调查和响应混合网络中的恶意行为。

2. AI/ML 不是唯一的答案:虽然 AI/ML 功能是 NDR 吸引力的重要组成部分,但仅依赖 AI/ML 的工具往往会产生白噪声。NDR 供应商应在其 AI/ML 方法与人工和实用分析之间取得平衡,以帮助减少误报。

3. 降低复杂性的集成:NDR 通常用作 EDR 和 SIEM 的补充技术,应该与这些解决方案双向共享检测和观察结果,从而实现对已知和未知网络威胁的早期检测和协调响应。