最后更新于2023年11月18日(星期六)19:52:07 GMT

这篇博文是一个正在进行的系列文章的一部分, MDR供应商必备条件.

让我们从一个类比开始:假设你是一个渔民,专门负责捕捉金枪鱼. 你撒下一张网,当你把它捞上来的时候,这张网也捞起了一堆其他的鱼. 要么你必须把它们分类,要么一整群鱼都会受到伤害.

通常基于静态规则集来查找特定事件的安全工具可能会导致大量误报, 抓住用户或资产实际上是无辜的,但需要分析师进行彻底的调查.

威胁和攻击者的形式和规模各不相同, 每种类型的威胁和攻击者需要不同的检测和响应方法. 影响每个企业的常见威胁都需要及时更新和妥善管理 威胁情报 快速识别和补救. More complex, 通过老练的攻击者实施的目标攻击需要同样的自适应检测, 因为他们的工具对威胁情报行业来说是未知的.

因此,虽然规则很容易编写,但它们并不是当今检测真正威胁的最准确方法. 这就是行为分析的用武之地.

The best 管理检测和响应(MDR) 供应商结合使用威胁情报, 用户行为分析(UBA), 攻击者行为分析(ABA),以及人类威胁搜索,为威胁和攻击者提供检测.

这是因为今天的攻击者可以很容易地扭曲恶意软件并切换他们的基础设施, 让使用静态指示器和工件追逐攻击者的安全团队不断感到落后一步.

而IP地址, processes, 域也会改变, 有一套潜在的隐形攻击技术预示着每一次成功的入侵. 调查这些行为是找到隐形攻击者的关键, 即使它们改变了进入机制以逃避预防防御.

根据山姆亚当斯的说法, Rapid7的产品副总裁, 单靠数学是解决不了这个问题的。. Adams continues, “许多供应商认为,如果他们拥有大量的数学和机器学习技术, 仅凭这一点就足以发现攻击者. 虽然你偶尔会抓到一个, 这很容易导致误报, 这使得团队很难知道哪些警报是真的,哪些是假的。”.

多药耐药有多快

Rapid7 MDR的分层ABA和高技能的SOC分析师清除了围绕攻击者技术的迷雾. 我们从海森堡计划中看到的信息, 我们的蜜罐网络, 我们的数百个MDR客户被注入了来自我们威胁情报团队的背景,并最终形成了主动检测,帮助我们区分异常的管理活动和攻击者活动.

For example, 当Rapid7 MDR根据实时端点数据添加ABA并将其与UBA信息相结合时 网络流量分析(NTA), 我们知道是谁登录了系统, 它们的位置, 主机连接了什么, 以及采取的具体行动. 此外,Rapid7 MDR能够在攻击生命周期的早期发现以下场景:

  • 日志收集和端点事件分析 最关键的系统/应用程序(包括传统网络之外的系统和应用程序)是否需要, 例如云服务)和您现有的安全技术.
  • 有效的检测 恶意工具, tactics, 和过程(TTPs)需要整个攻击生命周期的可见性.
  • Attackers hide 在机器上的常规操作背后,需要利用启动/停止进程数据来关联事件以发现恶意.
  • 攻击者冒充 你的一个雇员.
  • 攻击者是隐形的 并且需要对网络活动进行分析,以发现网络边缘或端点之间的恶意连接.

这就是为什么Forrester分析师指出Rapid7的“安全专家拥有丰富的事件响应和威胁搜索经验” MDR service 通过“白手套”, 行为检测启发方法”,Forrester Wave™:管理检测和响应Q1 2021.

为什么这很重要??

高保真警报授予采取行动的上下文

警报包括来自我们的分析师和威胁情报团队的上下文, 这样你就能做出更好的决定, 纠正问题, mitigate risk, 并将警报直接包含在您的发现报告中.

检测基于行为,而不是签名

通过利用insighttidr和顶级安全专家, 您的团队可以确信,我们能够使用高保真端点数据检测攻击者,从而识别新的攻击者技术的新变体.

发现一次,适用于任何地方

您的安全团队可以从Rapid7客户检测中获益. For example, 当我们的SOC团队发现新的攻击方法时——无论是通过我们的SOC, 威胁情报小组, 或Rapid7研究-这些ttp在insighttidr调查中更新.

Speed

通过将ABA作为 threat detection methodology, Rapid7的威胁情报团队可以针对新出现的攻击者行为快速制定新规则,并在发现新技术或新趋势的几分钟内推出检测结果.

Defense-in-depth

UBA擅长识别攻击链“横向移动”阶段的漏洞. ABA允许我们在攻击生命周期的所有其他阶段检测攻击者的活动.

不断发展的ABA检测

只要有可能, 警报将被详细告知, 最近的敌对组织在一次确认的攻击中使用了类似的技术. 作为我们云部署模型的一个关键优势, 经过彻底的原型设计后,我们的检测会自动更新到我们的整个用户群, testing, 以及验证过程. 所有新指标都应用于一个月的历史数据,因此您的环境立即得到保护.

Context

攻击指示器现在在insighttidr可视时间线上显示, 还有一些不寻常的行为. 这种组合使Rapid7 MDR SOC(或您的团队)更容易进行调查,并对调查结果报告充满信心.