专栏名称: 大数据D1net
大数据D1net隶属于企业网D1Net,提供大数据存储、大数据分析、大数据挖掘等有关大数据的最新技术和资讯。
目录
相关文章推荐
51好读  ›  专栏  ›  大数据D1net

转向安全数据湖来消除安全领域的数据孤岛

大数据D1net  · 公众号  · 大数据  · 2024-01-22 16:44

正文

请到「今天看啥」查看全文





数据孤岛使挖掘数据以获得洞察力变得困难,并给数据工程带来了挑战 - 信息被分散在不连续的解决方案和归档中,使得安全分析师的大脑成为整合和综合洞察力的唯一场所。更糟糕的是,数据孤岛将用于仅在入侵事件发生后才开始的调查,而不是用于在杀伤链的早期进行检测。


由于其频繁的变化和虚拟的边界,向云计算的转移使得及时连接这些点变得更加困难。安全团队应该意识到,当他们遇到竖井问题时,他们的单一SIEM解决方案需要帮助,实际上,该解决方案只接收组织安全数据的一小部分。


跨大容量安全数据集检测威胁




由于数据孤岛困扰着企业及其安全团队,在发生事件之前,可见性差距很容易被忽略。从终端检测和响应(EDR)取证数据到AWS访问日志和PowerShell活动,再到VPN遥测,这些海量安全数据集往往无法支持有效的威胁检测。以下是数据孤岛困境的一些常见示例:


  • EDR数据被抛在后面: 虽然终端检测和响应通常是第一道防线,但其对几乎每一项操作(创建的文件、启动的进程和建立的连接)的全面跟踪阻止了其与大多数SIEM部署的集成。作为一种解决办法,大多数组织会捕获警报记录并留下取证数据——超过99.9%的数据。虽然EDR供应商建议将这些数据存档以用于事件响应(特别是考虑到他们只存储有限的时间),但许多组织仍在苦苦挣扎。EDR取证数据经常在安全行动的威胁检测工作中丢失。


  • 云日志未启用: 从云存储中流出是重大云入侵的一部分。在这一领域进行早期检测的挑战在于,了解哪些用户下载了文件以及从哪里下载文件至关重要。默认情况下,云存储访问的日志记录通常是禁用的,因此,如果组织不知道启用日志记录或将其日志记录保留在SIEM之外,则这一潜在的强大威胁检测来源将保持未开发状态。


  • 攻击者靠土地谋生: PowerShell脚本是攻击者在对Windows系统进行后门操作并推出勒索软件时避免被发现的一种方式,但PowerShell中发生了如此多的良性活动,以至于IT组织往往不会跟踪它。直到发现PowerShell支持的入侵和勒索软件攻击时,才为时已晚。


  • VPN活动是缺失的一环: 鉴于威胁参与者普遍以支持远程登录的基础设施为目标,将HR和终端遥测数据结合在一起来检测VPN数据中的威胁的多维方法是强大的,但只有在这些来源统一时才可用。







请到「今天看啥」查看全文