终端安全求生指南（六）-—威胁检测与响应

威胁检测与响应

高级威胁被设计用来逃逸传统的基于签名的AV解决方案通过使用多样化，自动更新，环境意识的恶意软件，不用惊讶，老的检测是基于不同的威胁场景，并且其进化得非常地慢与不复杂。不久之前，安全工厂仅仅只需要知道一个***的签名和规则，便可以对抗他。

EDR是一个新的方法可以通过关联不能防御***者的侵入工业演变进来。替代的是，我们需要假设他们侵入了，因此需要专注于实时的检测标识为一种破坏的行为，然后，建立有效事件响应的设计来限制伤害。EDR补充传统的，基于签名的技术，通过检测不正常的行为和通过整个企业终端的可视化，而不仅是服务器和工作站。

A、比狙击×××还快：现代网络钓鱼***发生的速度与光速一般，第一次***像是无关联用户点击一个恶意软件相关联的邮件当中的URL，这些恶意软件运行后可以切断安全防护。

B、***者针对你的企业定制特有的***：目标***的地方，***都将会使用没有***性的技术，例如社会工程学来收集雇员人身份以及他们的邮件地址会是什么。

BOOT CAMP：

确保针对你的每个终端都做了基础工作。

1、记住你的SOPS：在之前我们讨论了建立你的标准化操作流程，近期每个单独的破坏都被检测到了针对环境的破坏.在之前表明***来源于“地下”，监控应用的运行，针对新软件取得重要数据发出告警，如果你的SOPs限制了软件除开白名单，然后每个不正常的行为都需被调查。

不寻常的用户访问可能意识着一个妥协，经常升级用户的凭证，通过随机的安全意识训练来测试用户，最后，确保用户在公司之前不不重复使用凭证来防止来自其他人针对你的破坏。

2、运行杀毒软件：当今社会，杀毒软件不能阻断大多数恶意软件的运行，但是他可以阻断一些，symantec可以阻断45%的***，但是这是有用的。

3、运行基于主机的防火墙和IPS：记住当我们谈论阻塞不必要的端口和服务时，通过限制应用授权运行和可能开放的端口在每台终端上，高级恶意软件可能仍然管理并找出一个端口或者进程进行劫持，但是至少你可以让***者操作起来更加困难。

ADVANCED TRAINING

4、替换防病毒软件：我们已经知道AV是不够防护大多数的高级***，信息罪犯知道AV是如何工作的，并且他们积极努力地跟这些防护措施进行周旋。

你需要专注于可能***向量，以及如何使用最高效的防护技术来阻止***，例如，近来很多的***将折中的站点作为与受害者产生联系的一第一步。web过滤可能是最高效的方法来防护这一类的影响通过防止意外接触。

一些其他可能的选择有白名单，沙盒，中断利用，email和web过滤，NAC,HIPS甚至是更改用户密码，所有这些工具都有他们的用武之地，并且应该作为多层次的一部分进行考虑，纵深防御可以保护你的大多数有价值的终端。

5、将日志发送至SIEM进行关联：一些情况下，你需要搭建破坏证据或者证明最近的***被包含。为了能做到这些，日志需要进入日志管理系统比如tripwire log center，作为一个增加的额外福利，如果你实时地收集和分析这些日志，你可能能够抓住一些流动的踪迹，在***者大规模地删除日志来隐藏他们的行踪。通过分析大量日志相关联的数据在同一个地方可以让你加固安全宝石和更多的准确取证。

6、确保搞病毒软件处于运行状态：确保你的AV处理运行状态并且实时更新病毒库通过定义使用企业管理面板，或者采用像tripwire enterprise's 安全面板的方案。

7、最好的变更是通过批准的变更：如果你ticket和reconcile每一次变更，然后任何没有票证的就是非授权的变更，非授权的变更一些时候是恶意的并且总是针对管理员的教育时刻，使用这种方法，恶意软件检测变成一个自然的安全配置管理实践的副产品。

COMBAT READY

将威胁情报融入到你的控制中

8、统一网络威胁情报与终端检测：使用tripwireenterprise和网络威胁情报领导者的check point software technologies，palo alto netwroks，cisco，lastline,bluecoat以及fireeye。这些解决方案带给网络和终端安全结合更加准确地，更具时效性的可用的第三方进程来检测与防御高级威胁，首先，识别重要资产上的可疑文件，然后，将文件发送给威胁分析服务，最后，安全控制措施基于识别到的威胁进行升级。

9、将HASH检测与终端检测相结合：利用个人和社区资源的IOC hash来获取新的威胁情报，通过利用STIX,TAXII标准或者定制商业威胁情报服务，你可以查找到隐藏在防御盲点后面的威胁，IOC 可以自动下载到tripwire enterprise，然后搜索证据，如果威胁被检测到，你可以收到告警并可以实施补救。

10、针对折中的网络指标进行整合：这些向量，其他也一样，提供关于ip、域名和主机恶意软件名的威胁情报，命令，控制服务和其他***框架，使用这些情报来修改防火墙规则，IPS阻塞和SIEM关联。通过收集网络情报与安全数据通过大数据解决方案像splunk，你可以快速地决定你的企业什么时候与一个众所周知的坏蛋沟通。

总结：终端安全得分

我们推荐你管理你的组织通过下面的指引，帮助你提高你们的安全风险态势，完成如下计分并计算结果来帮助你理解你需要做什么来提高每一种控制措施的效率作为EDR程序。

0：我们什么都没做。

1：我们仅仅做了一丁点儿，并且经常是因为需要服务的原因。

2：是的，我们做了这些，但是不完美。

3：我们采用科学的方法实施并经常找寻提高的方法。

control            score

终端发现

软件发现

脆弱性管理

安全配置管理

日志管理

威胁检测与响应

0-6 boot camp

针对将强大的EDR程序组合在一起，你面临着一大堆的挑战，但是不用担心，我们帮你覆盖到，以下是一些额外的资源。阅读终端检测与响应针对机器人的电子书来学习部署和管理针对各种各样的终端类型的安全措施。

阅读"遇见这个真正的文件完整性监控"白皮书

阅读“针对假人的安全配置管理”电子书

注册使用tripwire securescan账户获取免费的脆弱性评估。

7-12 advanced training

干得漂亮，接下来我们给你提供如何带着你的安全程序进入下一个级别的建议。

理解为什么战略与策略响应高影响的漏洞与那些在安全事件当中所使用的不同。

阅读：“restoring trust after a breach:which systems can i trust”

观看视频：“how to protect against the ransomware epidemic”

13-18 combat ready

恭喜，在这个领导，你成为了一个专家，持续寻找提高安全的方法，下面有一些资料针对高度成熟安全的组织：针对将你的组织安全管理程序带入下一个成熟的级别建设。了解可执行的威胁情报：自动的IoC与tripwire进行匹配。获取建议有关于带领你的组织漏洞管理程序进入下一个成熟的级别。找寻方法，如何评估终端安全程序的现关，通过“SANS-A maturity model for endpoint security”白皮书