|
“我想有人向我们发射了一枚鱼雷。”
-追捕红色十月号
一开始,这是一个普通的周末,充满了孩子们的日程安排和差事. 我在树林里的童子军营地接我儿子参加一年一度的克朗代克活动.
蝙蝠的电话响了.
我们的一个安全分析小组认为某个地区正在遭受攻击.
证券分析师的评论相当具体:
窗户。 Defender说它阻止了这些事件, 但他们认为窗户。 Defender已经被绕过了. 他们列出了一个他们认为被入侵的特定账户和被入侵的特定服务器. 为了防御,他们将一些服务器隔离到网络中,以便在我们弄清楚发生了什么事情的时候冻结攻击.
好消息是,这次“攻击”原来是一次未经宣布的渗透测试.
然而,对正在发生的事情的分析是准确的.
辩护是实时的,而我在做其他事情.
在这次活动中与证券分析师的讨论中,我学到了一些东西:
1 - 窗户。卫士实际上看到了这个攻击序列的发射. 我再次听到评论说,作为一个基本的杀毒产品, 窗户。 Defender实际上非常好.
我还被告知,在这种情况下,安装在窗户。 Defender旁边的一个配套产品实际上创造了一些意想不到的协同作用,增强了窗户。 Defender能够看到的内容. 也, 这位分析师评论说,有趣的是,窗户。 Defender看到了一些更高级的配套产品似乎没有看到的东西.
这个“现场试验”和那些比我聪明得多的人随后的评论,强化了我一直在说的一些观点:
1 -应该安装窗户。 Defender,并且知道它可以在每个服务器和工作站上工作-至少作为第二意见工具. 它是免费的. 它可以很好地与您可能安装的任何其他组件配合使用. 然而, 你现在的安全系统应运而生, 请注意检查你的网络,确保窗户。卫士安装在任何可以安装它的地方——不管你在做什么.
2 -阅读反病毒日志很重要. 然而,我们知道大多数人并没有像我们应该的那样阅读所有的日志. 我们都被淹没了,它变成了白噪音. 肯定有人在看那些日志. 你只需要把它算出来.
3 .针对可操作事件提供有意义的警报非常重要. 就在今天早上,我还在另一个地区的服务器上. 安装了思科AMP,这是一款具有许多高级保护功能的高评级EDR产品. 很明显,有一条大消息说这个端点在服务器重新启动之前是完全不受保护的. 我知道思科AMP会自动在控制台上发出特定的警报. 我知道可以设置一个电子邮件警报,将警报推送到适当的人面前,以便进行补救. 不管你已经决定部署什么保护措施,允许出现漏洞都是一场危险的游戏. “所有”是一件很难实现的事情,但在这里出错的风险非常非常高. 你需要保持警惕. 人们往往会因为“忘记”最后一步而重新安装提供保护的端点客户端,从而在重新映像时心情不好.
4 -投资你的钱不是在基本的防病毒,但更先进的配套工具,提供额外的保护层,创造改进的协同作用,提高整体安全堆栈的有效性. 不同的产品和层次从不同的角度看待事物. 没有什么能绝对看到一切, 希望其中一层能看到不好的事情,要么阻止它,要么至少拉响火警警报,提醒我们不好的事情正在发生.
就像花生酱和巧克力. 更好的在一起.
5 -再来一次, 就像周末蝙蝠的电话响一样可怕, 有一个完整的安全运营中心和/或现场安全分析师在中心位置观察和关联所有这些警报,这是非常重要的, 如果有必要的话, 在我做其他事情的时候主动介入.
知道他们总是这样做,并且还可以实时地进行全天候的讨论,坦率地说,这真是太棒了.
“你的安保系统里有什么?"
如果你没有这些层次,我鼓励你在时间和预算允许的情况下开始添加它们. 如果你想让别人监视你的中外野和你的终点站, 给我们打电话.
新闻官斯科特Quimby |
最近的评论