在上周的邮件中,我们讨论了NIST网络安全框架的第二个类别- 保护. 本周我们将讨论第三类- 检测.
探测似乎应该相当简单. 根据NIST, “检测类别”定义了识别网络安全事件发生的适当活动. 通过“检测”功能,可以及时发现网络安全事件. 这个概念确实很简单——当有人入侵你的网络时要保持警惕. 问题是,不良行为者不断发展新的方法来获取您的数据. 所以警惕和适应能力是关键.
实际上,下面是NIST给出的具体细节:
异常及事件(DE.AE): 及时发现异常活动,了解事件的潜在影响.
保安持续监察(DE.CM): 以离散间隔监测信息系统和资产,以识别网络安全事件并验证保护措施的有效性.
以下是NIST的一些例子:
- 确保检测到异常和事件,并了解其潜在影响
- 实施安全持续监控功能,监控网络安全事件,并验证包括网络和物理活动在内的保护措施的有效性
- 维护检测流程以提供对异常事件的感知
检测过程的示例是监视网络上的设备的工具. 是否存在不应该存在的设备? 几乎每个学区都在“虚拟服务器”的环境中运行。. 几乎所有的微软窗户。或苹果Mac设备都能够在其中托管虚拟服务器. 有没有人在你的网络上搜索并问一些基本的问题, “这是什么装置?, 如果它在那里?”
审计工具是另一种查找异常登录时间和失败登录以及异常文件活动的工具. 在去年, 纽约州审计署对学区的APP客户端审计指出,学区存在不活跃的用户id和电脑,或者对网络有不寻常的权限. 这些类型的工具可以毫不费力地识别出你的APP客户端人员需要关注的账户和机器,以使该地区的名字不出现在报纸上.
安全关注的一个新领域是安全和漏洞工具,它可以帮助您的APP客户端人员快速识别网络中的许多漏洞,以便您的APP客户端人员可以修复和堵塞已知的安全漏洞,同时开始直接解决NIST框架的APP客户端问题.
防病毒是一种传统的工具,你可能很熟悉. 现实情况是,传统的防病毒工具有点过时了. 那些会对你造成伤害的病毒经常可以很容易地利用杀毒软件的弱点. 如果您所在地区仍在订阅基本防病毒服务, 我们建议您将这笔钱重新分配给更先进的端点检测和响应(EDR), 但你会听到营销术语MDR (Managed)或XDR (Extended). 它们在基本层面上都是一样的。. EDR通过添加人工智能(AI)分析以及在某些情况下通常来自安全运营中心(SOC)的实时安全分析师分析来构建甚至利用传统的防病毒APP客户端。.
设计原则是,您应该采用多层安全分析——每层都从不同的角度查看网络中正在发生的事情. 我们的目标是通过组合这些工具, 即使有一层漏了什么, 或者是妥协了, 另一个安全层将抵御攻击. 把它想象成一家银行. 前门是锁着的. 如果这不能阻止罪犯,警报就会响起,一切都会被录下来. 如果这阻止不了罪犯,还有银行金库. 警察(安全行动中心)正在赶来的路上. 对您的安全实施进行SOC监督是至关重要的. 在平安夜的午夜,他们将积极地监视你的网络,并根据任何威胁采取相应的行动.
下周的公告将讨论第4 -类 回应.
与你的IT主管谈谈目前有哪些系统可以检测到对你的网络可能的入侵. 最佳实践是从多个攻击点(例如, 您的防火墙和端点). 与他/她讨论以下建议,并了解贵地区的侦测计划
- 在每个服务器和工作站安装/检查窗户。 Defender的状态-至少作为第二意见工具. 它是免费的. 它可以与您可能安装的任何其他内容一起使用. 然而, 请检查一下你的网络,确保在任何可以安装窗户。 Defender的地方都安装了它——不管你在做什么.
- 确保您的检测系统具有针对可操作事件的有意义的警报. 如果没有人查看控制台,那么在控制台上设置活动警报是没有帮助的. 你的保护漏洞可能是一个严重的暴露. 攻击者只需要对一次.
- 投资于更高级的反病毒配套工具,这些工具在基本的Microsoft Defender反病毒软件之外提供额外的保护层. 而Microsoft Defender则很好, 不同的产品和层次从不同的角度看待事件. 没有什么能绝对看到一切, 希望, 其中一层看到了不好的东西,要么阻止它,要么至少拉响火警警报,提醒你有不好的事情发生.
考虑将具有24x7x365 SOC的托管端点检测系统作为您的投资之一. 有一个完整的安全运营中心和/或现场安全分析师在中心位置查看和关联所有这些警报和, 如果有必要的话, 主动介入,直到你收到通知.
如果你想了解更多关于这里的任何建议的信息,或者有兴趣获得导航NIST CSF旅程的帮助, 请与Lisa MacDougall联系 lmacdougall@bionvision.com 或拨打845.897.9480.
最近的评论