當我們代表客戶進行 Purple Team 練習時,我們 Lares 的威脅研究人員遇到了範圍廣泛的安全缺陷和漏洞。隨著時間的推移,同樣的非受迫性錯誤似乎經常出現,以至於我們警告安全團隊制定標準化實踐來防禦它們。
Lares 對抗性協作部門協助客戶進行防禦性協作和 Purple Team 評估,攻防結合,強化安全防護。紅隊模仿外部或內部攻擊者,而藍隊充當內部安全防御者。紫隊通過將藍隊的防禦策略與紅隊嘗試的威脅相結合來協助雙方。
我們最近發布了新的研究,重點介紹了我們在數百個客戶參與中遇到的 5 大紫隊發現在過去的一年裡。最常見的可避免錯誤包括不充分或不必要的事件記錄;缺乏攻擊性安全知識;安全運營中心 (SOC) 中的相互依存關係;對工具的不健康依賴;並在壞錢之後扔錢。
為了妥善保護他們的組織,安全專業人員需要了解最新的威脅以及如何應對。此外,防御者應避免依賴工具,而應專注於開發不能或不應外包的基本技能。
Lares Purple Teams 研究的 5 大要點
不充分或不必要的事件記錄:事件是任何組織安全狀況的重要組成部分。許多組織應該更加關注關鍵日誌事件,或者他們收集了太多不必要的事件,這些事件填滿了存儲空間並掩蓋了重要數據。由於注意力不集中,他們可能會忽略惡意活動的重要跡象。組織應仔細選擇他們收集的事件以避免這些問題,並確保所有收集的數據點都與其安全需求相關。這樣做,他們可以構建有效的檢測和響應系統並改善整體安全態勢。
缺乏攻擊性安全知識:監控組織環境中的潛在威脅需要的不僅僅是只是對對抗性策略、技術和程序 (TTP) 的基本了解。重要的是要確定何時以及如何使用這些 TTP 來採取適當的行動來保護組織。例如,安全監督可能需要監控內部通信以識別惡意活動的潛在指標。通過深入了解組織的環境和對抗性 TTP,負責監控的個人可以更有效地檢測和響應威脅。
SOC 中的相互依存關係:許多託管安全操作中心 (SOC) 為防守團隊引入新問題而不是解決它們。這種情況經常發生,因為託管 SOC 難以應對過多的警報延遲、抑制關鍵事件,並且它們無法引入重要的遙測技術。
當託管 SOC 未能正確配置工具和技術來檢測和響應時,就會發生警報延遲到安全事件。可用於阻止攻擊的事件被延遲或從未出現。此外,由於來自高層管理人員或外部客戶的壓力,託管 SOC 通常會抑制關鍵事件。最後,託管 SOC 通常無法引入對事件至關重要的遙測技術。這是因為它們由不一定反映安全事件對現實世界影響的指標驅動。因此,許多託管 SOC 無法提供理解和解決安全威脅根本原因所需的見解和數據。
對工具的不健康依賴:另一個問題涉及防御者變得過於依賴端點檢測和響應 (EDR) 和擴展檢測和響應 (XDR) 解決方案,期望他們找到所有不良行為者。這種心態會導致誤報和錯誤歸因。 EDR 和 XDR 應被視為更廣泛的安全解決方案的一部分,而不是唯一的監控點。只有採取更全面的安全方法,組織才能在威脅形勢面前保持領先。
事與願違:組織在需要時外包他們的知識也很常見談到防禦措施。雖然這似乎是最簡單的解決方案,但它弊大於利,因為它會阻止員工學習提高效率所需的基本技能,並隨著時間的推移讓公司付出更多的金錢。公司不應外包所有安全知識,而應投資於員工並讓他們學習和成長。公司還應該實施直接對應於對抗性方法和機制的檢測和保護措施。這種方法使員工能夠獲得成功所需的技能,同時從長遠來看為組織節省更多資金。
在當今瞬息萬變的網絡安全環境中,需要的不僅僅是了解對手的戰術。安全團隊也需要注意他們自己的防禦措施可能引起的潛在問題。
圖片來源: Wayne Williams
Andrew Hay 是Lares 首席運營官。