提升事件響應準備度的3種新興技術

 網絡風險是頂級業務風險的認知(zhī)已深入人心，高管們都在詢問自己的安全主管能做點什麽來更好地應對和緩解網絡風險。事件發生(shēng)時再翻出事件響應計劃的做法，遠遠滿足不了當下(xià)快速發展的網絡威脅态勢。公司企業不僅需要堅強的事件響應能力，還需要有足夠的事件準備度。爲磨煉技術水平，安全團隊運用各種訓練來更好地預測威脅和操練響應能力。其中(zhōng)一(yī)種就是紫隊。

最近兩年，紅隊找漏洞發起模拟攻擊，藍(lán)隊檢測并響應攻擊的傳統網絡安全演練逐漸進化，形成了紫隊演練模式。雖然紅/藍(lán)隊模式能幫公司企業了解漏洞預防攻擊，但往往需要數周甚至幾個月時間才能完成攻防對抗并總結經驗教訓。

與傳統紅/藍(lán)對抗的戰争擴展遊戲不同，紫隊模式是協作而叠代的。通過更透明而持續的過程，紫隊模式将紅藍(lán)兩隊擰到一(yī)起，幫助防禦者更高效地緩解來自現實世界高度複雜(zá)的攻擊。攻方通告守方預定的攻擊計劃，執行攻擊，闡明所利用的安全漏洞，然後重放(fàng)攻擊，以便守方能立即精煉其響應。

紫隊模式旨在讓公司企業可以在整個演練過程中(zhōng)持續提升安全态勢，獲得即時效益和長期價值。但參與者往往還是重度依賴手動方式執行攻防演練。在時間和預算資(zī)源都很緊張的情況下(xià)，手動方式演練的收獲就很有限了。如果能用某些技術增加這些演練的頻(pín)率和深度，演練的價值應該會大(dà)上很多。以下(xià)3種創新技術就能自動化并精調紫隊演練活動。

1. 基礎設施分(fēn)析平台

很多公司企業都做不到完全了解自己的環境——網絡、數據中(zhōng)心、雲，而這一(yī)資(zī)産掌握上的缺失給了攻擊者作惡的有利條件。紫隊演練的第一(yī)步，就是了解公司的基礎設施，或者說攻擊界面。如果有個能提供非常詳細明了的攻擊界面視圖的分(fēn)析平台，公司企業就能更快更清晰地掌握自身面對的風險。通過自動化偵察和攻擊映射，基礎設施分(fēn)析平台能幫公司企業快速定位關鍵資(zī)産，并給出相關威脅模型。比如說，一(yī)份包含了系統版本和補丁情況的網絡資(zī)産清單，能供你将之與公共威脅及漏洞數據庫相關聯，快速生(shēng)成網絡潛在漏洞的列表。紅隊能用此信息設計出更成熟更複雜(zá)的攻擊場景，藍(lán)隊也能用此信息更快地解決安全漏洞。

2. 應用性能管理

應用性能管理(APM)工(gōng)具數年前便已出現，但早期叠代産品十分(fēn)笨重且缺乏細節。更爲現代的APM工(gōng)具能提供可用于分(fēn)析代碼安全的大(dà)量信息。隻要掌握了應用程序使用的對象和方法、數據流以及數據處理的位置，就可以了解攻擊者可能利用的弱點。這一(yī)由内而外(wài)的應用分(fēn)析方法遠比手動的由外(wài)而内的方法高效，能大(dà)幅加速安全分(fēn)析活動。比如說，攻擊者查找Web應用漏洞時，他們會找尋那些本不該出現的網頁——測試網頁、失效網頁或被棄用的網頁。這些網頁不在公司視線之内，早已被安全人員(yuán)遺忘，正是攻擊者找尋的脆弱點。APM工(gōng)具可以自動執行偵察動作，向紅隊威脅建模過程揭示并添加此類細節，并爲藍(lán)隊安全分(fēn)析師提供強化防禦所需的洞見。

3. 安全編配平台

通過自動化大(dà)量紅隊動作，該新技術可擔起模拟網絡攻擊的重擔，檢測公司的安全事件準備度。安全編配平台可以在網絡不通組件上應用設備及代理，輔助展現公司特定環境中(zhōng)的威脅及惡意活動的影響。紅隊可以之快速組織行動，比如模拟特定類型的勒索軟件攻擊或新聞中(zhōng)最新的拒絕服務攻擊。藍(lán)隊則可檢測自己的防禦層是否正常工(gōng)作，發現真正的網絡安全漏洞，确定如何更好地利用手中(zhōng)的資(zī)源，以及安排投入重點。

紫隊方法對事件準備度和事件響應大(dà)有裨益。爲進一(yī)步發揮紫隊方法的效果，我(wǒ)們需要集合恰當的人員(yuán)、過程和技術，驅動前向思維和安全分(fēn)析技術。以上新興技術還隻是少數幾種可用于獲取必要的可見性和自動化水平的技術，可幫助公司企業更加夯實事件準備度及事件響應工(gōng)作。還有其他創新技術可以用于增強紫隊過程。