終端安全求生指南（六）-—威脅檢測與響應

威脅檢測與響應

高級威脅被設計用來逃逸傳統的基于簽名的AV解決方案通過使用多樣化，自動更新，環境意識的惡意軟件，不用驚訝，老的檢測是基于不同的威脅場景，并且其進化得非常地慢與不復雜。不久之前，安全工廠僅僅只需要知道一個***的簽名和規則，便可以對抗他。

EDR是一個新的方法可以通過關聯不能防御***者的侵入工業演變進來。替代的是，我們需要假設他們侵入了，因此需要專注于實時的檢測標識為一種破壞的行為，然后，建立有效事件響應的設計來限制傷害。EDR補充傳統的，基于簽名的技術，通過檢測不正常的行為和通過整個企業終端的可視化，而不僅是服務器和工作站。

A、比狙擊×××還快：現代網絡釣魚***發生的速度與光速一般，第一次***像是無關聯用戶點擊一個惡意軟件相關聯的郵件當中的URL，這些惡意軟件運行后可以切斷安全防護。

B、***者針對你的企業定制特有的***：目標***的地方，***都將會使用沒有***性的技術，例如社會工程學來收集雇員人身份以及他們的郵件地址會是什么。

BOOT CAMP：

確保針對你的每個終端都做了基礎工作。

1、記住你的SOPS：在之前我們討論了建立你的標準化操作流程，近期每個單獨的破壞都被檢測到了針對環境的破壞.在之前表明***來源于“地下”，監控應用的運行，針對新軟件取得重要數據發出告警，如果你的SOPs限制了軟件除開白名單，然后每個不正常的行為都需被調查。

不尋常的用戶訪問可能意識著一個妥協，經常升級用戶的憑證，通過隨機的安全意識訓練來測試用戶，最后，確保用戶在公司之前不不重復使用憑證來防止來自其他人針對你的破壞。

2、運行殺毒軟件：當今社會，殺毒軟件不能阻斷大多數惡意軟件的運行，但是他可以阻斷一些，symantec可以阻斷45%的***，但是這是有用的。

3、運行基于主機的防火墻和IPS：記住當我們談論阻塞不必要的端口和服務時，通過限制應用授權運行和可能開放的端口在每臺終端上，高級惡意軟件可能仍然管理并找出一個端口或者進程進行劫持，但是至少你可以讓***者操作起來更加困難。

ADVANCED TRAINING

4、替換防病毒軟件：我們已經知道AV是不夠防護大多數的高級***，信息罪犯知道AV是如何工作的，并且他們積極努力地跟這些防護措施進行周旋。

你需要專注于可能***向量，以及如何使用最高效的防護技術來阻止***，例如，近來很多的***將折中的站點作為與受害者產生聯系的一第一步。web過濾可能是最高效的方法來防護這一類的影響通過防止意外接觸。

一些其他可能的選擇有白名單，沙盒，中斷利用，email和web過濾，NAC,HIPS甚至是更改用戶密碼，所有這些工具都有他們的用武之地，并且應該作為多層次的一部分進行考慮，縱深防御可以保護你的大多數有價值的終端。

5、將日志發送至SIEM進行關聯：一些情況下，你需要搭建破壞證據或者證明最近的***被包含。為了能做到這些，日志需要進入日志管理系統比如tripwire log center，作為一個增加的額外福利，如果你實時地收集和分析這些日志，你可能能夠抓住一些流動的蹤跡，在***者大規模地刪除日志來隱藏他們的行蹤。通過分析大量日志相關聯的數據在同一個地方可以讓你加固安全寶石和更多的準確取證。

6、確保搞病毒軟件處于運行狀態：確保你的AV處理運行狀態并且實時更新病毒庫通過定義使用企業管理面板，或者采用像tripwire enterprise's 安全面板的方案。

7、最好的變更是通過批準的變更：如果你ticket和reconcile每一次變更，然后任何沒有票證的就是非授權的變更，非授權的變更一些時候是惡意的并且總是針對管理員的教育時刻，使用這種方法，惡意軟件檢測變成一個自然的安全配置管理實踐的副產品。

COMBAT READY

將威脅情報融入到你的控制中

8、統一網絡威脅情報與終端檢測：使用tripwireenterprise和網絡威脅情報領導者的check point software technologies，palo alto netwroks，cisco，lastline,bluecoat以及fireeye。這些解決方案帶給網絡和終端安全結合更加準確地，更具時效性的可用的第三方進程來檢測與防御高級威脅，首先，識別重要資產上的可疑文件，然后，將文件發送給威脅分析服務，最后，安全控制措施基于識別到的威脅進行升級。

9、將HASH檢測與終端檢測相結合：利用個人和社區資源的IOC hash來獲取新的威脅情報，通過利用STIX,TAXII標準或者定制商業威脅情報服務，你可以查找到隱藏在防御盲點后面的威脅，IOC 可以自動下載到tripwire enterprise，然后搜索證據，如果威脅被檢測到，你可以收到告警并可以實施補救。

10、針對折中的網絡指標進行整合：這些向量，其他也一樣，提供關于ip、域名和主機惡意軟件名的威脅情報，命令，控制服務和其他***框架，使用這些情報來修改防火墻規則，IPS阻塞和SIEM關聯。通過收集網絡情報與安全數據通過大數據解決方案像splunk，你可以快速地決定你的企業什么時候與一個眾所周知的壞蛋溝通。

總結：終端安全得分

我們推薦你管理你的組織通過下面的指引，幫助你提高你們的安全風險態勢，完成如下計分并計算結果來幫助你理解你需要做什么來提高每一種控制措施的效率作為EDR程序。

0：我們什么都沒做。

1：我們僅僅做了一丁點兒，并且經常是因為需要服務的原因。

2：是的，我們做了這些，但是不完美。

3：我們采用科學的方法實施并經常找尋提高的方法。

control            score

終端發現

軟件發現

脆弱性管理

安全配置管理

日志管理

威脅檢測與響應

0-6 boot camp

針對將強大的EDR程序組合在一起，你面臨著一大堆的挑戰，但是不用擔心，我們幫你覆蓋到，以下是一些額外的資源。閱讀終端檢測與響應針對機器人的電子書來學習部署和管理針對各種各樣的終端類型的安全措施。

閱讀"遇見這個真正的文件完整性監控"白皮書

閱讀“針對假人的安全配置管理”電子書

注冊使用tripwire securescan賬戶獲取免費的脆弱性評估。

7-12 advanced training

干得漂亮，接下來我們給你提供如何帶著你的安全程序進入下一個級別的建議。

理解為什么戰略與策略響應高影響的漏洞與那些在安全事件當中所使用的不同。

閱讀：“restoring trust after a breach:which systems can i trust”

觀看視頻：“how to protect against the ransomware epidemic”

13-18 combat ready

恭喜，在這個領導，你成為了一個專家，持續尋找提高安全的方法，下面有一些資料針對高度成熟安全的組織：針對將你的組織安全管理程序帶入下一個成熟的級別建設。了解可執行的威脅情報：自動的IoC與tripwire進行匹配。獲取建議有關于帶領你的組織漏洞管理程序進入下一個成熟的級別。找尋方法，如何評估終端安全程序的現關，通過“SANS-A maturity model for endpoint security”白皮書