从黑客手册中获取一页:人类专业知识的力量-IDC帮帮忙

当Rackspace在2015年要求我建立并配备一个可以为我们的客户提供有效网络安全服务的安全运营中心时,我知道这将是一个挑战。

毕竟,美国人事管理办公室,Anthem Inc.,Ashley Maddison和多家金融机构等大型组织的违规行为几乎每天都在装修6点钟新闻。我的想法是,如果这些组织有大量的预算和吸引业内最有经验的人才的能力无法抵御网络攻击,我们将如何才能取得成功?

答案不是来自技术,而是来自一个更为熟悉的资产:人。

当我和我的团队接受挑战时,我们理解我们需要重新评估我们正在解决的问题。我们必须理解为什么如此多的网络安全计划失败以及成功的安全行动需要做些什么。

为了理解我们需要保护客户所需的功能,了解威胁以及威胁如何以一种过时的方式发展,以及过时的真正安全策略是至关重要的。

两件事情脱颖而出。

首先,业务发生了变化。到2015年,我们不再谈论公司是否会迁移到云 - 这艘船已经航行。客户希望采用新的云技术的企业能够提供更高的价值和更高的效率,同时保持安全。我们还看到组织开始使用多个云,增加了风险。

如果我们认为安全团队的角色是为了实现业务,那么很明显,现代安全策略必须跨多个平台工作,降低风险,使企业能够到达他们需要去的地方并做什么他们需要做的是提供客户需求的结果。

早在2015年,这意味着我们开始构建的任何东西都必须通过在客户业务所使用的所有平台上提供一致的功能集来降低复杂性。

第二件事突出:臭名昭着的高级持续威胁(APT)。互联网上充满了文章和意见,宣称APT是一个改变游戏规则的敌人。我的团队表示同意,但为了建立可以减轻这种威胁的能力,我们必须了解APT的做法有何不同。

这是一个复杂的问题,有一个复杂的答案可以填补另一篇博客文章,但可以这样思考:成功使用APT的恶意组织投资于PEOPLE - 而且他们早在我们公司的安全团队之前做到了。他们训练,装备和组织人员的方式使他们能够比防守对手更有效地分享信息,合作和协调。

这种合作加速了工具和策略的开发,他们更有条理的方法确保他们等待利用毫无戒心的员工不可避免地点击网络钓鱼邮件或使用“密码”输入密码时。它当然比这更复杂,但结果是,安全团队仍然依赖于最新的工具,然后将其交给善意的,但准备不足的IT专业人员。正如我们在违规后看到的那样,一个训练有素,装备精良的黑客总是比工具更具创新性。这不是战争技术本身就能赢得的。

随着我们继续为Rackspace安全构建功能,我们了解到,为了减轻APT和APT式攻击带来的威胁,我们需要显着增强团队中的两项功能:检测和快速响应。

发现
成千上万的工具声称可以识别和阻止网络攻击,并且在某种程度上,这种说法是有效的。这些工具可有效抵御每天针对组织部署的数千次攻击。有些人使用复杂的算法,创新的机器学习和人工智能。我不是要谴责安全技术行业的不足之处,这些工具至关重要。

但是,具有合法凭据的复杂攻击者,如果已经被网络钓鱼或通过其他技术获得,则会低于此阈值。

主动分析或网络搜寻将检测能力扩展到低于此阈值,使我们能够找到并识别复杂的攻击者。网络狩猎对不同的人来说意味着不同的东西,并且有多种方法,但最重要的是,如果做得正确,则意味着使用经过严格培训,最新且装备精良的安全分析师。

快速反应
接受复杂的攻击者将绕过我们的外围工具,并开发在网络上捕获它们的能力,现代安全操作还需要能够在这些攻击发展到足以影响业务之前阻止这些攻击。

事件响应必须在业务受到影响之前保护业务,而不是追求处理攻击后果的分级响应。如果没有快速和积极的响应能力,安全团队只不过是那个知名商业中无效的“安全监控器”,他们乐意“监控”银行,而劫匪则放弃了它的贵重物品。

最重要的是,有效的检测和快速响应都需要高水平的专业知识。在过去的18个月里,我和我的团队已经采访了300多名网络安全分析师,但我们已经雇用了32.为什么这么少?因为角色已经改变了。

许多网络安全分析师通过操纵工具作为安全团队的一部分获得了称号,但除此之外并没有多少。当我们在采访中推动时,太多的候选人缺乏在现代网络安全团队中运作的分析思维和实践经验。即使是训练有素,经验丰富的“传统”分析师,也往往缺乏采取主动和实时措施以及在能够影响业务之前应对攻击所需的经验。这是我们认为在今天的战斗空间中需要的主动响应能力。

在过去,分析师的角色主要是事后分析:解剖攻击,对其进行逆向工程,理解能够实现这些攻击的弱点,并可能就未来如何避免攻击提出建议。这很有价值,但这是对分析师需要的过时期望。

由于黑客具有“技术娴熟”,不断发展以逃避我们围绕我们的周边和网络设置的工具,我们需要的分析师不仅能够捕获这些复杂的攻击者,还能够进行一对一的战斗 - 并赢得胜利。

安全团队必须具备识别攻击的能力和能力,实时了解攻击的发生,预测接下来会发生什么,然后采取必要的行动来控制攻击,或者至少使其成为困难,在他们能够通过攻击生命周期并实现目标之前,我们的对手尽可能昂贵。

分析不再是被动技能,它非常活跃。

这些技能在单个分析师中很难找到。今天的角色不仅要求传统的网络安全分析师,还需要威胁研究员和事件响应者的要素。鉴于新的需求,我甚至不知道该怎么称呼它。

我们在Rackspace建立的团队对我们所带来的技术和分析技能感到自豪,因为我们要求的分析远远超过考虑的分析。我们的团队包括活跃的网络作战人员。正如我所说,仅靠战争技术是不会赢的,所以当我们建立我们的团队时,我们做了黑客在我们之前所做的事情,并投资于PEOPLE。