利用进攻性安全实现高效攻击后恢复

本文探讨了如何利用进攻性安全策略进行攻击后恢复,包括系统修复、客户信任重建和持续监控。基于Bishop Fox专家的实战经验,提供了从即时响应到长期网络弹性的实用步骤和最佳实践。

利用进攻性安全实现高效攻击后恢复

TL;DR: Bishop Fox的CISO Christie Terrill和前咨询副总裁Tom Eston讨论了如何利用进攻性安全策略进行有效的攻击后恢复,提供了修复和建立长期网络弹性的实用步骤。他们的见解基于丰富的实战经验,包括系统恢复、维护客户信任以及持续测试和监控的重要性,以应对新兴威胁。

随着复杂网络攻击(包括勒索软件激增)的浪潮日益高涨,人们越来越认识到进攻性安全在预防和应对这些威胁中的关键作用。

在最近的网络研讨会上,Bishop Fox的CISO Christie Terrill和前咨询与Cosmos副总裁Tom Eston讨论了组织如何利用进攻性安全策略进行攻击后恢复,借鉴了他们帮助客户从漏洞中恢复的广泛实战经验。这包括有效修复、恢复客户信任和建立长期网络弹性的实用步骤和策略。

以下是他们见解的总结,您可以点播观看完整讨论。

实时攻击期间的进攻性安全理解

传统上,进攻性安全与渗透测试和红队演练等先发制人措施相关,而事件响应(IR)团队是实时攻击期间的首选。然而,进攻性安全在实时攻击期间也可以发挥重要作用,帮助理解攻击面并在勒索软件漏洞等事件中识别攻击向量。进攻性安全团队与IR和IT团队合作,追踪漏洞的起源,无论是通过缺失的补丁、社会工程还是第三方漏洞。

例如,在2013年著名的Target漏洞(美国历史上最大的信用卡漏洞之一)期间,攻击者利用了第三方供应商的凭据。这突显了进攻性安全团队需要持续监控和测试第三方连接和应用程序。

攻击后的即时优先事项

一旦攻击被中和,即时优先事项是恢复系统。确保重新配置或重建的系统没有恶意软件和后门至关重要。这涉及进攻性安全团队进行彻底测试和验证,以确保新系统的完整性和安全性,然后恢复业务运营。

在最近的医疗保健漏洞期间,恢复药房和相关网络等关键系统至关重要,需要进攻性安全团队验证和保护新配置。无论攻击的原因是什么,进攻性安全团队都帮助IR和IT团队安全地恢复系统运行。

攻击后恢复客户信任

攻击后建立和维护客户信任是一项具有挑战性但关键的任务,因为对许多组织(包括Bishop Fox)来说,声誉就是业务。恢复客户信任是组织攻击后的主要关注点,正如最近的Ponemon进攻性安全状况报告和Verizon数据漏洞调查报告所强调的。即使事件是低影响错误而非全面漏洞,对客户的关切保持敏感并主动管理相关对话也很重要。

不仅客户的信任可能需要加强。内部利益相关者(从销售团队和内部审计员到执行团队)也可能需要关于发生了什么、为什么发生以及如何防止类似事件再次发生的保证。

展示透明度和承担责任是恢复信任的基本要素。组织必须采取的关键步骤是:

  1. 公开沟通事件。解释发生了什么以及对客户的影响。切勿将漏洞归咎于用户——最终,确保遵循强大安全实践是组织的责任。
  2. 识别并修复导致攻击的漏洞。第三方验证您的修复努力在这里起着至关重要的作用。外部进攻性安全评估向客户和利益相关者保证组织是安全的。
  3. 展示防止未来漏洞的承诺。明确您已引入的主动监控、迭代测试或其他服务,以防止未来类似事件。

持续测试和监控的重要性

在当今快速演变的威胁环境中,传统的年度渗透测试模式已不再足够,组织安全状况的报告可能在几分钟内过时。为了应对新漏洞和利用发生的速度,进攻性安全已从点时间评估转向持续安全测试和监控。这种方法确保漏洞被实时识别和解决,显著减少攻击者的机会窗口。

对MOVEit文件传输软件和Palo Alto网络OS中漏洞的快速响应突显了持续监控如何帮助组织高效应对威胁。像Bishop Fox的Cosmos平台这样的工具促进了持续攻击面管理,为组织提供关于其安全状况和新兴威胁的持续见解和更新。在几个实例中,组织甚至不知道MOVEit在其网络上,直到Bishop Fox或其他第三方合作伙伴在漏洞发生时标记它。

战略性的漏洞后行动

安全漏洞后,组织必须采取一系列战略性行动以防止复发。这涉及详细的根本原因分析,不仅修复即时问题,还解决任何潜在的系统性漏洞。

Bishop Fox推荐一个分阶段的方法,可以视为同心圆:

  • 从即时修复开始
  • 扩展到相关漏洞
  • 最后,在流程、政策和人员配置中实施更广泛的程序性更改

例如,在解决漏洞中利用的即时漏洞后,组织应评估具有类似风险的其他领域,如其他第三方集成,以防止未来事件。然后考虑开发生命周期或第三方供应商评估等可能需要哪些政策或流程更改。始终,重点应放在识别和修复差距和弱点上,而不是归咎责任。

中小型企业面临的挑战

中小型企业(SMB)由于资源有限,经常面临独特挑战。虽然攻击后恢复可能成本高昂,但底线是投资专家帮助对企业生存至关重要。虽然大型组织可能有内部能力,但SMB通常必须依赖外部专家进行即时响应和长期修复。

然而,我们的专家强调,虽然漏洞修复可能昂贵,但它们不一定意味着企业终结。通过正确的支持和策略,恢复是可以实现的——正如经历过大型、高调漏洞的公司(如Target和Equifax)所展示的。

对于没有内部安全团队或事件响应和恢复计划的SMB,我们建议至少创建一个基本计划,概述如果发生事件应联系谁。识别适当的联系人并获取有效1-2年的报价,以避免在实时攻击期间匆忙找人。

实用步骤和最佳实践

总结一下,以下是有效攻击后恢复的推荐步骤:

  1. 即时响应:立即参与IR团队以分类事件。
  2. 系统恢复:确保所有恢复的系统经过彻底测试且无任何恶意元素。
  3. 透明度:与客户和利益相关者公开沟通事件和修复努力。
  4. 第三方验证:使用外部评估验证安全措施并建立信任。
  5. 持续监控:实施持续测试和监控以领先新兴威胁。
  6. 程序性更改:审查和更新流程、政策和培训以解决漏洞揭示的任何差距。

进攻性安全不仅关乎预防攻击,还关乎有效响应和从中恢复。通过将进攻性安全策略整合到其攻击后恢复计划中,组织可以增强其弹性,维护客户信任,并加强其整体安全状况。随着网络威胁持续演变,持续测试、实时监控和战略规划的重要性不容 overstated。组织必须保持警惕和主动,以在日益敌对的数字环境中保护其资产和声誉。

有关进攻性安全和攻击后恢复的更多见解,探索这些进一步资源:

  • SANS Institute报告:Inside the Mind of Modern Adversaries
  • 博客:Validating Incident Response Plans with Red Team Tabletop Exercises
  • 视频:How Zero-Day Disclosures Alter Attacker Strategy

别忘了点播网络研讨会访问详细对话,包括观众问答。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次