亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

下一代企業(yè)網(wǎng)絡(luò)安全有兩個(gè)關(guān)鍵 “抓手”，一方面企業(yè)需要縮短 “反射弧”，大幅提高檢測(cè)和響應(yīng)速度，縮短駐留時(shí)間，這也是 xDR 相關(guān)產(chǎn)品和概念持續(xù)火爆的原因；另一方面，在預(yù)防階段，需要大幅度縮短強(qiáng)化時(shí)間，扭轉(zhuǎn)與攻擊者龜兔賽跑的不利局面，但這一點(diǎn)目前受到的重視還不夠。

漏洞利用與強(qiáng)化的龜兔賽跑

假設(shè)攻擊者武器化一個(gè)新漏洞的平均時(shí)間為 7 天，那么作為防御者的你，當(dāng)你發(fā)現(xiàn)新的漏洞利用時(shí)，通常只有 72 小時(shí)進(jìn)行系統(tǒng)強(qiáng)化加固。

平均而言，企業(yè)安全團(tuán)隊(duì)修復(fù)一個(gè)漏洞所需的時(shí)間比攻擊者武器化和利用一個(gè)漏洞所需的時(shí)間長(zhǎng) 15 倍。如果武器化需要 7 天，那么修補(bǔ)則需要 102 天。

漏洞一經(jīng)披露，你便加入一場(chǎng)賽跑，不能搶先 “補(bǔ)牢”，便會(huì) “亡羊”（漏洞被利用）。事實(shí)證明，我們的對(duì)手以博爾特的沖刺速度進(jìn)行武器化，而我們大多數(shù)人在進(jìn)行端點(diǎn)強(qiáng)化和應(yīng)用關(guān)鍵補(bǔ)丁時(shí)，依然是離退休干部馬拉松比賽的節(jié)奏。

FireEye 2018 年 1 月發(fā)布亞太地區(qū)網(wǎng)絡(luò)攻擊報(bào)告指出，全球地區(qū)網(wǎng)絡(luò)攻擊 “駐留時(shí)間（攻擊者入侵網(wǎng)絡(luò)到入侵被檢測(cè)）”中位數(shù)為 99 天，亞太地區(qū)的網(wǎng)絡(luò)攻擊 “駐留時(shí)間” 中位數(shù)為172天。歐洲、中東和非洲的攻擊駐留時(shí)間中位數(shù)為 106 天，美國(guó)為 99 天。

我們已經(jīng)在現(xiàn)實(shí)中一次又一次地看到這種 “龜兔賽跑”（兔子不打盹）的局面上演，而且無數(shù)次血淋淋的事故告訴我們，龜速往往會(huì)導(dǎo)致災(zāi)難性的結(jié)果。

例如，微軟在 2019 年 5 月的安全修復(fù)程序中修補(bǔ)了 BlueKeep，截至 2019 年 12 月，仍有 700,000 多臺(tái)計(jì)算機(jī)處于風(fēng)險(xiǎn)中。同時(shí)，根據(jù) Sophos 最近發(fā)布的關(guān)于 WannaCry 演變的報(bào)告表明，盡管補(bǔ)丁已經(jīng)發(fā)布了兩年多，依然有大量機(jī)器尚未安裝補(bǔ)丁，WannaCry 不僅沒有滅絕，而且 “香火旺盛”，不斷“繁衍生息”。上圖是 Sophos 對(duì) 2019 年 8 月全球客戶設(shè)備的調(diào)查數(shù)據(jù)，可以看出 WannaCry 的變種攻擊在美國(guó)、印度、秘魯、菲律賓等全球多個(gè)國(guó)家依然非常活躍。

端點(diǎn)安全的下一個(gè)戰(zhàn)場(chǎng)

一方面，端點(diǎn)安全革命的終點(diǎn)站不是云原生端點(diǎn)檢測(cè)和響應(yīng) (EDR) 或者減少駐留時(shí)間。實(shí)際上，這些只是起點(diǎn)。不可否認(rèn)，駐留時(shí)間是一個(gè)非常重要的安全指標(biāo)，對(duì)不可接受的駐留時(shí)間宣戰(zhàn)是第一波戰(zhàn)斗。但這只是序幕，端點(diǎn)安全的下一個(gè)戰(zhàn)場(chǎng)將 “向左移動(dòng)”，從大幅縮短暴露時(shí)間開始，同時(shí)引入一個(gè)非常重要的新指標(biāo)：平均強(qiáng)化時(shí)間 (MTTH)。

驚魂24小時(shí)：聚焦端點(diǎn)平均強(qiáng)化時(shí)間

假定武器化的平均時(shí)間為 7 天，這期間會(huì)產(chǎn)生大量武器化利用，例如導(dǎo)致 Equifax 泄露 1.43 億美國(guó)用戶數(shù)據(jù)的臭名昭著的 Apache Struts 漏洞，安全團(tuán)隊(duì)在應(yīng)對(duì)蜂擁而來的新漏洞利用技術(shù)之前，實(shí)際上只有 72 個(gè)小時(shí)的時(shí)間來加固系統(tǒng)。而當(dāng)出現(xiàn)零日漏洞時(shí)，最佳的響應(yīng)窗口是在漏洞披露后的 24 小時(shí)內(nèi)。盡管 24 小時(shí)聽上去有點(diǎn) “強(qiáng)人所難”，但這確實(shí)是達(dá)成入侵前防御效果所必須的速度。

超出 24 小時(shí)的閾值，強(qiáng)化就成了一種被動(dòng)工作，幾乎沒有太多預(yù)防性價(jià)值。為了取得實(shí)實(shí)在在的成果，企業(yè)需要聚焦端點(diǎn)強(qiáng)化的速度。24/72 MTTH 閾值將是企業(yè)加速制定、測(cè)試和部署漏洞緩解措施的下一個(gè)重要基準(zhǔn)。

使用MTTH加速事件響應(yīng)

事件響應(yīng)閾值并不是一個(gè)新概念。CrowdStrike 根據(jù)觀察到的攻擊速度 “Breakout Time”，提出了 1/10/60（分鐘）的高效能事件響應(yīng)規(guī)則。因?yàn)樽钕冗M(jìn)的國(guó)家黑客從“灘頭陣地” 橫向移動(dòng)/攻擊的平均時(shí)間只有不到 2 小時(shí)，防御者的反應(yīng)速度必須達(dá)到：1分鐘檢測(cè)、10分鐘理解、1個(gè)小時(shí)內(nèi)將攻擊遏制在入侵點(diǎn)。

上面這個(gè)響應(yīng)時(shí)間框架，面向的是當(dāng)下攻擊面不斷擴(kuò)大，威脅日益復(fù)雜的趨勢(shì)，能夠達(dá)到 1/10/60 響應(yīng)速度的企業(yè)更有可能在與黑客的競(jìng)賽中勝出，遠(yuǎn)離主流媒體的頭條新聞。

但是，在事件響應(yīng)的 1/10/60 時(shí)間端之前和之后我們?cè)撛趺崔k？檢測(cè)之前的戰(zhàn)役該怎么打？我們?nèi)绾瓮ㄟ^前置階段的工作改變最終的安全事件結(jié)局？

24/72 MTTH 強(qiáng)化方法與 1/10/60 響應(yīng)方法相輔相成，相互支持。24/72 可幫助安全團(tuán)隊(duì)確保按照業(yè)務(wù)需求的速度主動(dòng)進(jìn)行加固，并消除檢測(cè)系統(tǒng)中的所有噪音，以便安全團(tuán)隊(duì)可以更有效地運(yùn)行 xDR 系統(tǒng)，對(duì)告警也更有信心，并使團(tuán)隊(duì)能夠?qū)Ｗ⒂诟鼜?fù)雜更致命的攻擊。同時(shí)，1/10/60 的信息也有助于強(qiáng)化工作的優(yōu)先級(jí)排序，例如 EDR 調(diào)查中發(fā)現(xiàn)的數(shù)據(jù)有助于發(fā)現(xiàn)那些更值得關(guān)注的威脅。

將 24/72 MTTH 與 1/10/60 相結(jié)合，企業(yè)就可以大規(guī)模地對(duì)響應(yīng)和緩解措施進(jìn)行優(yōu)先級(jí)排序，并及時(shí)修補(bǔ)漏洞。在武器化的 “payload快遞員” 敲門時(shí)，你的 EDR 以及安全團(tuán)隊(duì)已經(jīng)完全就緒。

結(jié)論

通過在補(bǔ)丁更新中采用 24/72 經(jīng)驗(yàn)法則，安全團(tuán)隊(duì)可以提高運(yùn)營(yíng)效率，同時(shí)建立漏洞管理的最佳實(shí)踐，從而更好地保護(hù)端點(diǎn)免受攻擊侵害。24/72 是一項(xiàng)結(jié)果指標(biāo)，可幫助管理和戰(zhàn)術(shù)團(tuán)隊(duì)實(shí)現(xiàn)可持續(xù)的防御優(yōu)勢(shì)。讓我們用強(qiáng)大的主動(dòng)防御技能，調(diào)低 EDR 告警的音量。

本文相關(guān)報(bào)告

勒索軟件WannaCry進(jìn)化追蹤報(bào)告：

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/WannaCry-Aftershock.pdf