ESET研究:中小企业如何利用威胁研究和多重反应来构建防御优势
我们采访了ESET威胁研究总监Jean-Ian Boutin,探讨哪些解决方案将先进技术与人类专业知识相结合,能为企业提供最实用的价值
企业IT和安全团队肩负着抵御无情且日益复杂的对手的艰巨任务。他们常面临资源有限和不断扩大的攻击面,但招募和留住顶级安全专业人员来运营内部安全运营中心(SOC)对许多组织来说遥不可及。与此同时,威胁不断演变,对手不断精进技术,导致事件常常使业务运营陷入停滞。
为了避免被动,防御方需要采取主动的方法,结合预防、检测、修复与准确及时的威胁情报。如果内部构建这种能力不切实际,那么租赁或购买作为服务则更为现实。当然,这并非新概念——小型组织几十年来通过局、托管服务提供商和云计算享受着新IT创新的好处。
对于先进的网络安全服务,也有充分理由这样做,而托管检测与响应(MDR)正是在这里发挥了重要作用。MDR为组织提供了主动、专家驱动且可扩展的威胁监控和狩猎能力,而无需支付顶级SOC的成本。不久前,MDR既昂贵又复杂——甚至不如专门的内部架构。现在,对于小型组织来说,考虑MDR也越来越实用。
我们最近采访了ESET威胁研究总监Jean-Ian Boutin,聊聊他团队的工作,以及威胁研究和情报如何融入MDR工作流程。Jean-Ian还让我们一窥了尖端技术与人类专业知识结合在哪些方面能带来最实用的价值,尤其是在中小企业环境中。
大多数小企业用户从ESET威胁研究中获得什么?当他们使用ESET MDR时,这种体验会有什么变化?
ESET拥有分布在多个地区的威胁研究团队;我和团队在蒙特利尔,但我们的研究人员也分布在欧洲和美国。
这里有很多内容是大家都能看到的:我们在WeLiveSecurity上的出版物,以及在全球网络安全会议上的演讲和演示。
还有一些只有ESET企业客户才能获得的内容:各种“技巧和窍门”;也就是关于威胁行为者的信息:他们在做什么、如何运作——这些都帮助我们的客户保持安全。
在托管检测和响应方面,威胁情报是帮助我们的检测与响应团队了解各种威胁行为者的运作方式,以及他们如何利用这些信息保护客户免受入侵的关键组成部分。
我们刚才谈到了冰山一角——用户很少见到的MDR后端,但这绝对至关重要。你能解释一下吗?
控制台中可能出现的各种警报有时是我们想要调查的终端检测。我的团队负责确保所有新的样本和威胁都能在客户环境中得到处理和检测。所以团队的部分职责就是确保所有这些新趋势、新样本都能被观察、调查,并在客户现场被发现。这是关键方面之一。
我们非常谨慎地整理针对全球组织的电子犯罪、勒索软件、APT组织及国家级行为者的威胁情报数据。我们的研究人员利用这些见解将新的泄露事件与以往案例联系起来。
他们还评估了泄露的严重程度,我们也能评估攻击背后的可能目的。它真正让客户全面了解可能发生的事情,是否发生了入侵,甚至是针对他们的具体群体。
MDR在现有的ESET端点保护基础上添加了什么?
MDR更具定制性,与客户的关系也得到了改善和加深。但我团队的产出分布在整个产品集中。
最近有一些关于ESET私有报告的讨论:它们与大多数中小企业面临的问题有多大相关性?他们是否面临有针对性的攻击?那民族国家行为者呢?
威胁特征因组织而异,国家行为体通常有预设目标,目标目标与这些目标相符。
就电子犯罪而言,这范围很广。这是大规模针对性。我们经常看到信息窃取者。我们也经常看到勒索软件。
所以,我们的职责是了解这些组织的运作方式,确保如果他们有新技术,我们能迅速行动,确保阻止所有尝试。
这是最终目标,但同样,有许多威胁行为者在做这类事情,恶意软件家族也更多。确保客户安全是一项日常工作。绝对不缺工作。
ESET的安全分析师之一James Rodewald使用了三角定位的概念:在野外看到某物,听取受影响客户的反馈,并与威胁情报团队沟通。他举的一个例子是涉及FamousSparrow的攻击。你能从你的角度详细说明一下吗?
与实际处理此类案件的人保持密切关系非常重要,因为我团队的主要职责是查看遥测数据,数据来自所有端点,我们试图寻找有趣的案例,以及需要改进整体保护的案例。
但有时MDR团队会偶然发现我们过去见过的某些情况,这也让我们能更好地理解威胁行为者的实际运作方式。
在那个具体案例中,这让我们大开眼界,因为我们已经很久没见过这个威胁行为者了。每当涉及客户使用MDR的案例时,调研会更为深入,因为与客户的关系更紧密,我们对他们的基础设施了解得更深入,从而更好地帮助他们。我们可以更好地理解案件的影响。然后这些数据会传递给其他威胁情报客户,因此我们尽量与所有这些团队保持联系,并将这些事件联系起来,以便提升我们的覆盖范围,加深对所有威胁的理解。
你谈到了与MDR分析师和D&R(探测与响应)团队的工作关系。当你与分析师甚至客户建立这样的一对一关系时,这会如何改变你的工作方式和对威胁的理解?
这改变了一切,因为MDR我们已经与该组织的安全负责人建立了合作关系,因此我们可以非常快速地了解攻击的范围、具体发生了什么、攻击者为何出现等等。
我们能获得的信息远远超过普通端点所能获得的。因此,对我们来说,这种关系在洞察力、曝光度和对案件的理解方面是无价的。
去年英国发生了一连串攻击事件,通过外包帮助台服务攻破了像捷豹路虎和马莎百货这样的大型组织。中小企业也会把这类服务外包作为供应链的一部分,而且这些服务往往也是大公司供应链中保护较弱的部分。他们应该担心吗?
供应链攻击带来的风险非常大。多年来,已有多次记录显示威胁行为者针对供应链中的漏洞,通常针对安全措施较为宽松的第三方供应商。通过攻破这些提供商,攻击者可能获得组织网络的初始访问权限。
关于MDR,其优势在于其广泛的可见性,确保对所有检测和警报的全面视图。这种能力使我们能够更有效地识别即使是细微的异常。由于我们的团队持续监控这些组织的潜在事件,我们能够及时发现并响应细微的威胁行为者错误。
供应链攻击带来了重大挑战,因为很难保护所有第三方实体的安全。然而,实施有效的解决方案能增强我们对此类事件的快速高效反应能力。
作为威胁研究团队的负责人,你认为MDR对客户有什么不同?对于拥有MDR服务的组织,以及可能还不会立即迈出这一步伐的组织,这会产生什么影响?
总体来说,正如我之前提到的,MDR的连续可见性要好得多。如果您的组织受到某项活动的影响,您将拥有更好的工具来整合攻击者采取的所有不同行动,并了解他们在网络中的所作所为。
简单来说,MDR提供了对攻击更深入的洞察。从威胁研究的角度来看,这是最大的优势,另一个重视这种可见性的关键原因是响应速度。有了MDR,研究人员与公司之间已有安全渠道,更容易联系到能够迅速遏制泄露的人员。
最后一个问题:你会对那些可能认为MDR过于复杂或昂贵的组织说些什么?
MDR就像一份保险政策,帮助及早识别勒索软件等威胁——通常在重大问题出现之前。攻击者通常使用初始访问代理进行入侵,但可以提前发现多个预警信号。虽然不建议支付赎金,但追回过程仍可能带来干扰。MDR支持业务连续性,让您能够专注于核心产品。
谢谢!