亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

下一代企業(yè)網(wǎng)絡(luò)安全有兩個關(guān)鍵 “抓手”，一方面企業(yè)需要縮短 “反射弧”，大幅提高檢測和響應(yīng)速度，縮短駐留時間，這也是 xDR 相關(guān)產(chǎn)品和概念持續(xù)火爆的原因；另一方面，在預(yù)防階段，需要大幅度縮短強化時間，扭轉(zhuǎn)與攻擊者龜兔賽跑的不利局面，但這一點目前受到的重視還不夠。

漏洞利用與強化的龜兔賽跑

假設(shè)攻擊者武器化一個新漏洞的平均時間為 7 天，那么作為防御者的你，當(dāng)你發(fā)現(xiàn)新的漏洞利用時，通常只有 72 小時進行系統(tǒng)強化加固。

平均而言，企業(yè)安全團隊修復(fù)一個漏洞所需的時間比攻擊者武器化和利用一個漏洞所需的時間長 15 倍。如果武器化需要 7 天，那么修補則需要 102 天。

漏洞一經(jīng)披露，你便加入一場賽跑，不能搶先 “補牢”，便會 “亡羊”（漏洞被利用）。事實證明，我們的對手以博爾特的沖刺速度進行武器化，而我們大多數(shù)人在進行端點強化和應(yīng)用關(guān)鍵補丁時，依然是離退休干部馬拉松比賽的節(jié)奏。

FireEye 2018 年 1 月發(fā)布亞太地區(qū)網(wǎng)絡(luò)攻擊報告指出，全球地區(qū)網(wǎng)絡(luò)攻擊 “駐留時間（攻擊者入侵網(wǎng)絡(luò)到入侵被檢測）”中位數(shù)為 99 天，亞太地區(qū)的網(wǎng)絡(luò)攻擊 “駐留時間” 中位數(shù)為172天。歐洲、中東和非洲的攻擊駐留時間中位數(shù)為 106 天，美國為 99 天。

我們已經(jīng)在現(xiàn)實中一次又一次地看到這種 “龜兔賽跑”（兔子不打盹）的局面上演，而且無數(shù)次血淋淋的事故告訴我們，龜速往往會導(dǎo)致災(zāi)難性的結(jié)果。

例如，微軟在 2019 年 5 月的安全修復(fù)程序中修補了 BlueKeep，截至 2019 年 12 月，仍有 700,000 多臺計算機處于風(fēng)險中。同時，根據(jù) Sophos 最近發(fā)布的關(guān)于 WannaCry 演變的報告表明，盡管補丁已經(jīng)發(fā)布了兩年多，依然有大量機器尚未安裝補丁，WannaCry 不僅沒有滅絕，而且 “香火旺盛”，不斷“繁衍生息”。上圖是 Sophos 對 2019 年 8 月全球客戶設(shè)備的調(diào)查數(shù)據(jù)，可以看出 WannaCry 的變種攻擊在美國、印度、秘魯、菲律賓等全球多個國家依然非常活躍。

端點安全的下一個戰(zhàn)場

一方面，端點安全革命的終點站不是云原生端點檢測和響應(yīng) (EDR) 或者減少駐留時間。實際上，這些只是起點。不可否認，駐留時間是一個非常重要的安全指標(biāo)，對不可接受的駐留時間宣戰(zhàn)是第一波戰(zhàn)斗。但這只是序幕，端點安全的下一個戰(zhàn)場將 “向左移動”，從大幅縮短暴露時間開始，同時引入一個非常重要的新指標(biāo)：平均強化時間 (MTTH)。

驚魂24小時：聚焦端點平均強化時間

假定武器化的平均時間為 7 天，這期間會產(chǎn)生大量武器化利用，例如導(dǎo)致 Equifax 泄露 1.43 億美國用戶數(shù)據(jù)的臭名昭著的 Apache Struts 漏洞，安全團隊在應(yīng)對蜂擁而來的新漏洞利用技術(shù)之前，實際上只有 72 個小時的時間來加固系統(tǒng)。而當(dāng)出現(xiàn)零日漏洞時，最佳的響應(yīng)窗口是在漏洞披露后的 24 小時內(nèi)。盡管 24 小時聽上去有點 “強人所難”，但這確實是達成入侵前防御效果所必須的速度。

超出 24 小時的閾值，強化就成了一種被動工作，幾乎沒有太多預(yù)防性價值。為了取得實實在在的成果，企業(yè)需要聚焦端點強化的速度。24/72 MTTH 閾值將是企業(yè)加速制定、測試和部署漏洞緩解措施的下一個重要基準(zhǔn)。

使用MTTH加速事件響應(yīng)

事件響應(yīng)閾值并不是一個新概念。CrowdStrike 根據(jù)觀察到的攻擊速度 “Breakout Time”，提出了 1/10/60（分鐘）的高效能事件響應(yīng)規(guī)則。因為最先進的國家黑客從“灘頭陣地” 橫向移動/攻擊的平均時間只有不到 2 小時，防御者的反應(yīng)速度必須達到：1分鐘檢測、10分鐘理解、1個小時內(nèi)將攻擊遏制在入侵點。

上面這個響應(yīng)時間框架，面向的是當(dāng)下攻擊面不斷擴大，威脅日益復(fù)雜的趨勢，能夠達到 1/10/60 響應(yīng)速度的企業(yè)更有可能在與黑客的競賽中勝出，遠離主流媒體的頭條新聞。

但是，在事件響應(yīng)的 1/10/60 時間端之前和之后我們該怎么辦？檢測之前的戰(zhàn)役該怎么打？我們?nèi)绾瓮ㄟ^前置階段的工作改變最終的安全事件結(jié)局？

24/72 MTTH 強化方法與 1/10/60 響應(yīng)方法相輔相成，相互支持。24/72 可幫助安全團隊確保按照業(yè)務(wù)需求的速度主動進行加固，并消除檢測系統(tǒng)中的所有噪音，以便安全團隊可以更有效地運行 xDR 系統(tǒng)，對告警也更有信心，并使團隊能夠?qū)Ｗ⒂诟鼜?fù)雜更致命的攻擊。同時，1/10/60 的信息也有助于強化工作的優(yōu)先級排序，例如 EDR 調(diào)查中發(fā)現(xiàn)的數(shù)據(jù)有助于發(fā)現(xiàn)那些更值得關(guān)注的威脅。

將 24/72 MTTH 與 1/10/60 相結(jié)合，企業(yè)就可以大規(guī)模地對響應(yīng)和緩解措施進行優(yōu)先級排序，并及時修補漏洞。在武器化的 “payload快遞員” 敲門時，你的 EDR 以及安全團隊已經(jīng)完全就緒。

結(jié)論

通過在補丁更新中采用 24/72 經(jīng)驗法則，安全團隊可以提高運營效率，同時建立漏洞管理的最佳實踐，從而更好地保護端點免受攻擊侵害。24/72 是一項結(jié)果指標(biāo)，可幫助管理和戰(zhàn)術(shù)團隊實現(xiàn)可持續(xù)的防御優(yōu)勢。讓我們用強大的主動防御技能，調(diào)低 EDR 告警的音量。

本文相關(guān)報告

勒索軟件WannaCry進化追蹤報告：

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/WannaCry-Aftershock.pdf