原标题:助力企业决战黑客,Orange Cyberdefense提出检测网络入侵最佳实践
第三届世界物联网安全及数据安全峰会于2022年1月13日、14日在中国上海举行,来自政府和汽车、医疗、家电、互联网等行业的专家与技术大咖共同探讨网络安全与数据安全的发展方向。欧洲最大的安全服务商Orange Cyberdefense中国区技术总监王杰先生发表题为《如何解决数字化转型时代下的安全问题》的主旨演讲。数字化革命提高了企业的核心竞争力,同时也让企业面临新挑战。王杰指出,随着加密货币的兴起,以谋利为目的的新型网络犯罪趋势持续上升,黑客不断用新技术破坏企业网络安全,传统的方法难以防御黑客,以行为特征为导向检测黑客攻击是目前行之有效的方法。
(Orange Cyberdefense中国区技术总监王杰先生)
数字化转型时代,企业对信息化系统的重视和依赖,也反过来被黑客所利用。黑客通过加密和窃取企业的重要数据、敏感数据来进行勒索,不交赎金的企业则面临数据被泄露和销毁的威胁,为了让企业网络恢复正常而不得不交出数目可观的赎金。王杰在演讲中引用Orange Cyberdefense发表的2022年度安全研究报告表明,根据其监控的全球网络犯罪事件,2021年的网络犯罪数量比前一年提升了40%,平均每笔赎金达17万美元,Orange Cyberdefense预测2022年网络犯罪有继续上升的趋势。
“企业与网络犯罪组织之间是一场不对称战争,”王杰指出,如今的黑客再也不是单打独斗的游兵散勇,犯罪组织集结身怀绝技的众多黑客,将网络安全勒索作为一门生意来经营运作,像一个高效的组织一样运作,架构严密,设有首席执行官、财务官,为了成功完成勒索收到赎金,甚至配备客服,创建门户网站。网络犯罪团伙在数字世界里神出鬼没,从财富五百强公司到各行各业的中小型企业,都可能成为被攻击的对象。黑客入侵的方式也在不断更新迭代,包括Pattern、TTPs、ATT&CK框架等。
犯罪组织可以招募很多黑客,甚至出价一百万美元招一个黑客高手。面临来自数字世界的安全威胁,虽然企业投入了大量资源加强网络安全建设,但是要建立起一个专业强大的网络安全团队,受人员、技术、经验、资金等诸多因素制约。
王杰认为,“企业想打赢这场不对称的战争,与独立的安全服务商的合作可以解决这个问题。Orange Cyberdefense拥有25年安全服务经验,我们的安全运营中心SOC(Security Operation Center)为全球超过八千家客户提供安全服务,无论企业使用哪些厂商的安全产品,我们可以整合所有这些安全产品,确保其高效运作。最重要的是,我们有特别厉害的手段去检测网络安全威胁。”
Orange Cyberdefense SOC为企业网络安全保驾护航的优势体现在两方面。第一,基于行为特征去进行检测。传统的安全检测方法基于IP地址,或者基于特征,需要有人先找到有问题的文件,针对已经报告过的病毒文件进行比较,把特征提炼出来。现在,黑客的病毒都是自动化生成新的,无从比较,用旧的方式检测不到黑客批量产生的自动化的攻击。Orange Cyberdefense SOC的方法是以行为特征为导向进行监测,即根据黑客所用手段形成的框架性行业标准去开发检测规则,这样会更客观全面,不受主观判断和个人认知限制。不管黑客散播什么病毒,都会在终端电脑部署类似的行为,例如,偷建账号,建后门,连接到控制服务器下发命令,锁定文件等等。一台电脑在一段时期内反复出现可疑行为特征,基本上就可以拉响安全告警。
Orange Cyberdefense SOC的第二个强大之处在于为企业提供精准告警。在日常操作层面,单个的安全厂商只会去看跟本身产品有关的东西,比如杀毒软件只看客户端。Orange Cyberdefense SOC的安全服务不只是看单个安全产品的日志,而是把电脑在公司网络所有活动产生的痕迹都收集下来,综合计算一个安全评分。现在黑客的手段比较高明,不会去触发大的动静,单独看不出有安全问题,高明的黑客用隐藏性的手段,不会让电脑某一个方面引起警觉。Orange Cyberdefensen SOC的检测手法是把几项合起来,当一个电脑有几样特异行为时,这样的告警才比较精准。一个安全团队,一天能处理的告警是有限的,所以安全告警一定要准,否则就变成狼来了。
以上这些安全能力,如果从企业自身角度来自行搭建的话会面临各方面困难,比如招聘合适的安全团队,补全各种岗位例如日志管理员、SIEM平台维护工程师,监控响应工程师,事故响应工程师,Use Case维护工程师等等,同时要花费大量时间精力投入技术维护、技术验证等等。想要用自建的方式在两三年内达到有效的检测能力非常困难,很多尝试自建安全团队的企业在这几年的发展都不是很顺利,能够达到成熟检测能力的自建团队很少。
Orange Cyberdefense SOC覆盖全球,欧洲总部赋能世界各地的安全运营中心,除了日常的专业培训,一旦发生重大的安全事件,总部会第一时间通知工程师,立即采取措施保护客户的网络安全。王杰表示:“我们提供远程服务,无须到客户现场,疫情更凸显我们的远程安全服务的优势,不管客户的分支机构在哪里,我们都能提供服务。”