随着年龄的增长,我患上了幽闭恐惧症. 核磁共振成像仪现在是我的克星. 幸运的是,我已经很长时间不需要了.
然而, 我在IT行业工作了43年,现在还有一件事让我感到害怕——那些针对我们客户的基于互联网的攻击.
有那么多人想要伤害我们,窃取我们的信息并索要赎金.
对我来说最可怕的一件事是,在供应商发布修复程序之前,“事后”就通知有不好的事情发生了——甚至是一个问题通知. 去年我听了太多了, “这没什么大不了的”或“没有已知的漏洞”的场景,但后来却发现这是不真实的.
当面对这些反复出现的情况时,我问自己几个问题:
- 我们的哪些客户可能会受到影响?
- 有补丁吗??
- 这个补丁真的有效吗? 去年有太多次答案是“不”——在我们完成安装工作之后.
- 补丁会破坏什么吗? 去年太多时候,答案都是肯定的。.
- 我怎么知道坏人是否已经侵入了我们潜在客户的网络? 你听到我一遍又一遍地说,“我怎么知道我不知道的东西。?"
- 如果我发现了缺口的证据,我怎么知道是否有动静? 我非常讨厌在这么多利害攸关的事情上盲目操作,这个供应商给我带来了恐惧, 不确定和怀疑总是在不合适的时候,比如晚上,落在我们的腿上, 周末和节假日.
- 这个网站有面向互联网的服务器吗?
- 它们是否被隔离在DMZ中?
- 是否通过防火墙直接向内部的服务器戳洞? In the most recent server active attack that CISA talked about a week or so ago; they recommended that the server not directly touch the internet. 这意味着DMZ中的代理服务器将流量从外部重新路由到内部,以保持一切正常. 这意味着LDAP调用将转到只读域控制器vs. 普通的DCs. 如果这不是你的设置, 您需要评估接触互联网的内容,并使这些连接更安全.
- 站点的备份状态是什么?
- 是否有安全的异地备份?
- 备份是否经过测试??
然后,我会仔细检查潜在受影响的客户是否有适当的工具,让我能够迅速采取必要的措施来保证他们的安全:
- 网站是否有我们的圣骑士哨兵监控服务,提供一个概览的可见性和简单的访问,快速查看服务器和潜在的关闭服务器或服务的风险,而我们找出下一步是什么?
- 该站点是否安装了我们的CyberSentinel端点检测和响应(CSEDR)客户端,以便我们不仅拥有先进的防病毒保护,而且能够看到攻击的横向移动, 24x7x365全天候监视来自安全运营中心(SOC)的设备,并可选择自动避开被感染的设备作为第一响应,直到SOC验证其安全并将其重新投入使用-即使是在7月4日凌晨3点?
- 他们是否有补丁管理流程来推出窗户。、第三方和自定义补丁?
- 他们是否有我们的托管防火墙服务,我们可以看到是否有任何异常的流量正在进行-特别是如果我们确定了一个特定的威胁,以及它是如何说话的.
- 他们是否有活动目录审计服务器来快速查找异常的权限升级, 文件活动?
- 他们是否有思科保护伞来过滤和报告已知不良网站的恶意DNS查询并报告活动? 之前我写过一个试图从德国下载Tor浏览器的服务器. 好消息是,思科保护伞阻止了查询,导致下载失败. 知道攻击者获得他们的足迹并试图下载Tor来设置商店,这是一个“屏蔽”时刻. 一场袭击正在上演. 我们能够迅速阻止这种尝试,保护网站,并通过所有其他工具验证它是干净的.
了解攻击者是否已经破坏了您的网络并建立了持久的立足点,以及他们是否正在跳过您的服务器或工作站进行他们的邪恶工作的最神奇的工具之一是女猎手代理. 它为机器创建了一个基线,以了解什么是“正常”. 然后,它通过人工智能和实时安全分析师评估针对已知威胁的更改. 它不会屏蔽任何东西,但会查找行为. 它能看到杀毒软件、EDR和其他高级保护无法看到的东西. 最近的许多违规行为实际上都是允许的,所以传统上没有什么可以阻止“合法的流量或文件”. 在最近这些事后披露的违规行为中, Huntress的安全人员能够获取有关漏洞和文件模式的最新供应商和APP客户端,并将其应用于他们庞大的端点数据库,并通过Huntress代理识别具有漏洞文件模式指纹的机器. 他们还能够识别出缺乏补丁的设备,以防止漏洞利用. 在真正重要的时刻,观看他们的行动是非常了不起的.
女猎手特工不能替代任何东西. 它只是安全堆栈中的另一层,用一组完全不同的眼睛从完全不同的角度看待安全性.
把它想象成烟雾探测器. 这并没有阻止火势, 但它确实告诉你有烟雾或火焰,让我们所有人都能迅速集中精力,在它杀死你之前,消灭已经在你的网络中超越其他防御的威胁. 事实证明,它对我们现在和将来都不会处于危险之中的想法是非常宝贵的.
我认为女猎手特工应该监视一切, 但如果这还无法实现, 我希望互联网上的所有东西都能得到它. 然后是所有的域控制器. 然后剩下的服务器. 然后是你的工作站从最敏感的工作站开始,然后是其他的.
当我害怕我不知道的事, 我想让女猎手特工在重要的时候告诉我这些信息.
这些工具给了我一个思路,我相信你在你的网络中也应该有.
如果你想要这种水平的可见性和添加的一块心, 给我们打电话,让我们谈谈你们地区的整体安全策略.
新闻官斯科特Quimby |
最近的评论