HOME > 解決方案

您的網路安全團隊是否被系統警報淹沒了?

2021/10/05

每天早上,當您的網路安全團隊走進辦公室後,他們的一天就會立即脫離正軌。他們會收到警報,告知網路上出現某些可疑的行為。這不一定就是威脅,但他們沒有工具可以確認。在調查之後,他們才發現某個部門的 SaaS 供應商提供了一個更新,導致服務降級。

謝天謝地,這不是一次攻擊。但這仍然浪費團隊不少時間。

試想把這個場景乘以一千看看。公司每天都可能會收到數十到數百個傳入的「警報」,並且很難及時處理它們,因為:
  • 大多數網路分析人員沒有辦法獲得整個企業的完全可見度,因此很難從整體情況看待警報,以快速判斷它們的優先性。
  • 由於人才不足,許多網路安全團隊的資源是不夠的。
  • 業務部門的負責人越來越常購買更多的軟體和軟體即服務 (SaaS) 工具,但通常沒有詢問 IT 部門的意見,甚至事後也沒有諮詢他們。

以上幾點導致一個情況出現,就是一個小部門就必須處理日益複雜的 IT 環境。網路安全專業人士擔心,最主要的問題會被大量的小警報掩蓋,或是他們會在資訊不足的情況下太快對警報採取行動,然後對正常的業務服務產生負面影響。許多人都遇過警報疲勞的情形。他們試圖處理每一則警報,因為擔心沒有處理到的是最大的威脅。

結果,過勞的網路安全團隊無法保護越來越脆弱的組織免受來自外部和內部攻擊者的攻擊。

透過 Splunk 安全研討會強化員工的工作流程

在投入時間進行調查之前,網路專業人員需要用一種更有效的方式來檢視、評估和確定系統警報的優先性。

為了提高客戶的成功率,我們推出了一系列安全研討會:一個虛擬、互動式且可動手實作的學習系列,讓網路安全專業人員能夠透過視覺化、調查工具和自動化來簡化他們的工作。

在這些研討會中,網路安全專業人員將學習 Splunk 介面的基礎操作,然後使用模擬數據來處理他們預期會在本身企業中看到的特殊網路安全情境。

總體來說,這些研討會為參與者提供了一個安全的沙箱環境來進行學習和實驗。

參與者可以進行哪些技術學習?

在這些安全研討會期間,參與者將學習如何:
  • 區分值得注意的事件和無害的異常事件
  • 將網路威脅與效能相關問題區分開來
  • 尋找特定類型的 IT 事件
  • 將事件組合成一個和攻擊者活動相關的大型事件
  • 使用關聯和自動化來簡化工作流程
  • 了解哪些是必須收集的重要事件,以便了解攻擊者的行動

以下是在週三研討會時,參與者可以體驗的一些場景和課程。
 

圖 1:確定暴力破解 (brute force) 的來源

 
圖 2:找出受害者瀏覽的第一個可疑網域


圖 3:識別惡意檔案

 
圖 4:識別來自受感染主機的檔案伺服器連線
 

圖 5:確定哪個 Web 伺服器是目標


 
圖 6:尋找掃描 Web 伺服器的 IP

更好的工具和培訓可改善網路專業人員的工作流程和員工操作。

Splunk Security Cloud 和我們的安全研討會有三個主要目標:
  • 簡化工作流程,使網路專業人員可以專注於更重要的活動
  • 改善網路安全專業人員的操作,不被必須手動、不重要或重複性的工作淹沒
  • 更快獲得關鍵問題的答案,以開發更有效的調查技巧

我們的研討會將透過以下幾種方式實現這個目標:
  1. 提高效率和有效性:參與者使用 Splunk 和開放原始碼工具開發一致性的方法來調查事件。他們將有充足的機會學習如何在 Splunk 中搜尋,以回答和調查相關的特定問題,就好比他們在自己的企業中尋找答案一樣。分析人員越早提出正確的問題,就能越快地對事件進行分類和優先排序。
  2. 組合事件、了解情境並採取行動:參與者將有機會在多個現實情境中實際操作,找出值得注意的事件,以及調查、捕獵和根據發現的結果協調後續的行動。他們將能深入探索進階型持續威脅,並有機會提出假設然後進行捕獵。還能取得如何將 Lockheed Martin 殺傷鏈、MITRE ATT&CK 和鑽石模型 (Diamond Model) 等模型套入捕獵情境的介紹。
  3. 保持擁有最新技能:如今,無論是否經過許可,每個人都在企業中使用某種形式的雲端服務。我們將幫助參與者利用以下服務的資料進行實際調查,擴展他們對 AWS 等雲端服務的知識:CloudTrail、CloudWatch、VPC Flow、GuardDuty 和 Security Hub。參與者不僅能更加了解他們可以從這些服務中獲得的日誌,更具體地說,他們能夠了解收集哪些事件很重要,以便了解雲端環境中的攻擊者行為。
  4. 參加比賽:如果沒有一點樂趣,那麼開發新技能有什麼意義?我們邀請參加部分或所有研討會的參與者來測試自己的能力,同時享受多種樂趣。組成一個團隊,參加我們非常受歡迎的 “Boss of the SOC” 比賽。這是一項動手操作、自定進度的藍隊練習,使用 Splunk 來打敗威脅。這是一項奪旗式的比賽,參與者必須回答在一個擬真但實為虛構的企業環境中發生的安全事件的各種問題。參與者置身在一個現實的場景中,面對各種安全事件和分析人員必須定期回答的問題。憑藉您的新技能、好奇心和創造力,您可以與其他人計時競賽,爭取比賽排名。
  5. 增強、簡化的工作經驗等同於更強大的網路安全團隊:我很高興網路專業人士能夠參加我們的安全研討會。在網路安全的未來,專業人士將會擁有因應網路安全世界快速變化所需的工具和支援,Splunk 很高興能夠發揮一己之力共襄盛舉。