加強威脅偵測和應變能力以提升網絡韌性


發布日期:2023年7月26日

在數碼時代,數碼化已經與各行各業不同規模的機構緊密相連,成為不可或缺的部分。不過,對資訊科技的依賴,卻增加了機構承受網絡威脅和挑戰的風險。網絡攻擊若然發動成功,後果可以很嚴重,包括引致財務損失和聲譽受損。雖然預防措施和外圍防禦策略是有效保安計劃的重要一環,但機構亦必需再加強其網絡韌性。網絡韌性是指機構在監察、偵測和應對網絡攻擊方面的整體能力,目的是盡量減輕網絡攻擊對機構造成的負面影響。今天的網絡空間相互連接,隨時受到攻擊,我們須採用「假定被攻擊」的策略,從被動防禦轉為主動防禦。

主動偵測網絡威脅
「假定被攻擊」的作業模式,是指機構應假定網絡攻擊已經發生,並主動檢測環境中是否有任何因入侵行為而造成的可疑事件。為此,機構應在端點和網絡上有策略性地部署適當的偵測工具,以及時識別異常活動和行為。在選擇偵測工具時,機構應考慮具有行為分析能力的工具,而非僅依賴識別異常模式或識別碼的工具。由於行為偵測工具可以評估系統活動和網絡流量的行為特徵,以偵測異常行為,因此被視為較諸識別碼偵測工具而言更為有效。目前,大多數保安解決方案,如端點偵測與回應(EDR)和端點保護平台(EPP)解決方案,均已具備分析實時系統行為的能力,偵測是否受到威脅。

保持良好的記錄作業模式
全面的記錄機制亦極有必要,能幫助我們了解和追踪系統和保安事件,並有助加強持續監察潛在的網絡威脅。為了建立有效的記錄作業模式,機構應先確定哪種日誌記錄配置有助確定系統是否受到入侵,以及系統受到入侵影響的程度。可能有需要加以記錄的事件包括更改系統配置、外部通訊、身份驗證和接達、保安工具引發的警報,以及改動保安工具的啟動狀態。為便於尋找威脅和分析事件,機構應確保記錄的保存時間夠長,並避免被覆寫。一般而言,記錄應至少應保留六個月,並應實施足夠的措施保護記錄,以防止攻擊者篡改記錄。

建立主動進行安全監察的能力
現今的網絡攻擊者往往會避開偵測,並藏匿在機構的系統環境或網絡基礎設施中,以盡可能收集更多資訊,才發動攻擊。建立一個堅固的安全監察系統,包括對記錄進行主動和持續的分析,以查找異常的系統行為和已知的攻擊模式,可以讓機構及早發現受到入侵的跡象,迅速作出應對,從而減少可能受到的影響。雖然沒有一套通用做法,但機構應根據所面臨的威脅和可用的資源來建立其安全監察系統。不論採用哪種做法,機構宜通過自動化工具進行安全監察,例如安全資訊與事件管理(SIEM)方案,可以集中收集和整合不同系統的記錄,以便即時發現安全問題並盡速處理。為了應對不斷變化的威脅形勢,應不時加強安全監察(包括SIEM的預警規則),加入威脅情報和安全報告所分享的最新入侵指標。

建立應對網絡威脅的有效措施
在掌握系統環境中的活動後,下一步是有系統和高效地準備好應對安全事故,並恢復受阻的服務。當中需要作出適當的人手和責任分配、預留足夠的資源、制定事故處理程序,甚至編製事故應變手冊。為了有條理且自動化地應對安全事故,編製事故應變手冊是至關重要的第一步。雖然手冊的形式視乎機構的規模和類型而定,但通常包括工作流程和操作程序,以協調不同情況下的應變工作。除了手動程序之外,機構還應考慮安全工具所提供的全自動或半自動操作程序(例如終止惡意程序、隔離有可疑出站網絡流量的端點或禁用異常用戶帳戶),以進一步加快整體的應變工作。此外,機構員工對於防禦網絡威脅的準備也同樣重要。機構應定期進行網絡安全演習,讓每位支援和管理人員熟悉事故處理程序,同時提供機會優化事故應變流程。

建立共享威脅情報的生態系統
提升網絡的抗禦能力需要持續保持警覺和不斷投入,才可以跟上日新月異的攻擊方法和加強已建立的偵測和應變機制。然而,機構可能難以單獨應對瞬息萬變的網絡威脅。為了在不斷變化的威脅形勢下保持優勢,機構應積極共享和交流有關攻擊方法和入侵指標的最新資訊,並及早採取預防措施,互相協作,以提供多一層針對網絡威脅的保護,最終得以減少網絡攻擊的整體影響。



相關主題 :