什么是 CSRF 攻击?
跨站点请求伪造 (CSRF) 攻击允许攻击者伪造请求并将其作为登录用户提交到
Web 应用程序,CSRF 利用 HTML 元素通过请求发送环境凭据(如
cookie)这一事实,甚至是跨域的。 与 XSS 一样,要发起 CSRF
攻击,攻击者必须说服受害者单击或导航到链接。与 XSS
不同的是,CSRF
只允许攻击者向受害者的来源发出请求,并且不会让攻击者在该来源内执行代码。这并不意味着
CSRF 攻击的防御变得不那么重要。正如我们将在示例中看到的,CSRF 可能与 XSS
一样危险。
CSRF 的背景
Web 起源于查看静态文档的平台,很早就添加了交互性,在 POSTHTTP
中添加了动词,
在 HTML 中添加了元素。以 cookie 的形式添加了对存储状态的支持。 CSRF
攻击利用 Web 的以下属性:cookie 用于存储凭据,HTML 元素(与 JavaScript
不同)被允许发出跨域请求,HTML 元素随所有请求发送所有
cookie(以及凭据)。 CSRF
将所有这些放在一起。攻击者创建了一个恶意网站,其中包含向受害者的来源提交请求的
HTM ...
UEBA 是 User and Entity Behavior
Analytics(用户与实体行为分析)的缩写。它是一种信息安全技术和分析方法,旨在检测和识别用户和实体在计算机网络中的异常行为和潜在威胁。
UEBA
利用机器学习、统计分析和数据挖掘等技术,对网络用户、终端设备和其他实体(如服务器、数据库等)的行为进行监控和分析。它通过学习正常行为模式,可以发现异常活动、异常访问模式、数据泄露、未经授权的访问等潜在威胁。
UEBA
技术通常用于网络安全操作中,帮助组织提高网络安全防御能力和对威胁的识别和应对能力。通过对实体和用户行为的智能分析,UEBA
能够快速发现恶意活动和内部威胁,帮助企业及时采取相应措施,防止数据泄露和网络攻击等安全事件的发生。
UEBA 是 Gartner 于 2015 年首次提出的术语,是用户行为分析 (UBA)
的演变。UBA 仅跟踪最终用户行为模式,而 UEBA
还监控非用户实体,例如服务器、路由器和物联网 (IoT)
设备,以发现可能表明安全威胁或攻击的异常行为或可疑活动。
UEBA 与其他企业安全工具一起在安全运营中心 (SOC)中使用,UEBA
功能 ...
随着网络威胁形势的扩大,组织需要更好的方法来主动检测威胁并保护其关键业务资产和数据。这就是为什么他们需要安全、编排、自动化和修复
(SOAR)以及安全信息和事件管理 (SIEM)解决方案。
虽然这些网络安全工具具有一些共同和互补的功能,但它们具有不同的优势,因此不能互换使用。为了加强网络安全,组织应该了解这些差异。只有这样,他们才能有效地利用这些工具来加强防御。
本文旨在详细探讨这些差异。为了您的方便,我们提供了一份执行摘要,将这些内容浓缩到下表中。
执行摘要:主要差异
SIEM
SOAR
发出警报;人员必须采取行动
摄入警报并自动响应
需要手动警报分类
自动警报分类
必须手动调整分析引擎以区分恶意威胁和良性威胁
自动区分威胁并采取相应行动
归因于分析师的警报疲劳
编排和自动化功能可减少警报疲劳
基本数据关联能力并采取单一决策来触发警报(可能是误报)
根据剧本中的决策或请求用户输入后动态提取数据
仅限于从网络、端点、云和应用程序收集日志数据
还可以吸收人类输入来做出即时决策以阻止威胁
只能发出警报;安全人员仍必须分析每个警报并决定采取行动
自动响应威胁并采取适当的措施来保护组织
什么 ...
一般来说,SOC 团队的主要角色包括:
SOC 经理负责管理团队、监督所有安全操作并向组织的
CISO(首席信息安全官)报告
安全工程师,负责构建和管理组织的安全架构。这项工作大部分涉及评估、测试、推荐、实施和维护安全工具和技术。安全工程师还与开发或
DevOps/DevSecOps
团队合作,以确保组织的安全架构包含在应用程序开发周期中
安全分析师——也称为安全调查员或事件响应者——本质上是网络安全威胁或事件的第一响应者。分析师检测、调查威胁并对其进行分类(确定优先级);然后,他们识别受影响的主机、端点和用户,并采取适当的措施来减轻和遏制影响、威胁或事件。(在某些组织中,调查员和事件响应员是不同的角色,分别归类为第
1 级和第 2 级分析师)
威胁猎手(也称为专家安全分析师)专门检测和遏制高级威胁——设法绕过自动防御的新威胁或威胁变体
SOC
团队可能包括其他专家,具体取决于组织的规模或其开展业务的行业。较大的公司可能包括一名事件响应总监,负责沟通和协调事件响应。一些
SOC
包括法医调查员,他们专门从网络安全事件中损坏或受损的设备中检索数据(线索)。
安全运营中心 (SOC)
安全运营中心 (SOC) – 有时称为信息安全运营中心或 ISOC – 是一个由 IT
安全专业人员组成的内部或外包团队,负责 24/7 监控组织的整个 IT
基础设施,以实时检测网络安全事件并尽快有效地解决这些问题。 SOC
还选择、运营和维护组织的网络安全技术,并持续分析威胁数据以找到改善组织安全状况的方法。
运营或外包 SOC
的主要好处是它可以统一和协调组织的安全工具、实践以及对安全事件的响应。这通常会改进预防措施和安全策略,更快地检测威胁,以及更快、更有效和更具成本效益地响应安全威胁。SOC
还可以提高客户信心,并简化和加强组织对行业、国家和全球隐私法规的合规性。
SOC
通常由一组专业的安全分析师、网络安全工程师和其他安全专家组成,他们配备先进的安全技术和工具来实时监视组织的网络和系统活动。SOC
负责执行以下主要任务:
监控:持续监控组织的网络和系统,识别异常活动和潜在的安全事件
检测:使用入侵检测系统(IDS)、入侵防御系统(IPS)、防病毒软件、安全日志分析等工具来发现潜在的威胁和攻击
分析:对收集到的安全事件进行深入分析,确定是否为真正的 ...
使用案例
编排有什么帮助(高级概述)
处理安全警报
网络钓鱼丰富和响应 -
摄取潜在的网络钓鱼电子邮件;触发剧本;自动执行和执行可重复的任务,例如对受影响的用户进行分类和吸引;提取并检查指标;识别误报;并为
SOC 做好大规模标准化响应准备。 端点恶意软件感染 -
从端点工具提取威胁源数据,丰富该数据,使用安全信息和事件管理 (SIEM)
解决方案交叉引用检索到的文件/哈希值,通知分析师,清理端点并更新端点工具数据库。
失败的用户登录 - 在预定次数的用户登录尝试失败后,通过触发
playbook、吸引用户、分析他们的回复、使密码过期和关闭 playbook
来评估失败的登录是真实的还是恶意的。 从异常位置登录 - 通过检查 VPN
和云访问安全代理 (CASB) 存在、交叉引用 IP、确认用户违规、发布阻止并关闭
playbook,识别潜在的恶意虚拟专用网络 (VPN) 访问尝试。
管理安全运营
安全套接字层 (SSL) 证书管理 - 检查端点以查看哪些 SSL
证书已过期或即将过期,通知用户,几天后重新检查状态,将问题上报给适当的人员并关闭
playbook。 端点诊断和启动 -
...
在比较不同的 SOAR
提供商时,您在做出决定之前需要考虑一些不同的因素。除了核心技术之外,买方的决策过程很大程度上受到整体提供的因素和服务的影响。组织在实施任何
SOAR
产品之前应考虑的一些因素包括对其自身成熟度的评估、所需的技术集成和工具堆栈、现有流程以及他们选择的部署方法。
组织对其安全状态进行内部审核后,必须考虑与 SOAR
产品本身相关的因素。考虑因素例如:
**易于使用以及与其他工具的连接:**安全编排工具应充当检测、丰富、响应和相关工具之间的连接纤维。
组织应该努力实现最终状态场景,其中 SOAR
工具从他们当前部署的检测工具中获取警报,并执行自动化操作手册,协调丰富、响应和相关工具之间的操作。
平台内可以执行多少命令或操作?集成是否能够解决以下重点领域?这些包括:
分类和映射
检测与监控
数据丰富和威胁情报源
执法和回应
**自定义集成功能:**平台是否有构建自定义集成的机制(例如内部
SDK)?平台上线期是否包括服务团队的定制集成支持?这些服务是添加到产品购买价格中还是作为产品购买价格的一部分?
**开箱即用
(OOTB)/预构建集成:**平台有多少个集成(类 ...
公司和组织发现 SOAR
的价值,因为它最大限度地减少了所有类型安全事件的影响,同时最大限度地提高了现有安全投资的价值,并降低了总体法律责任和业务停机的风险。SOAR
帮助公司解决并克服安全挑战,使他们能够:
统一现有的安全系统并集中数据收集以获得全面的可见性,从而大大提高公司的安全状况以及运营效率和生产力
自动执行重复的手动任务并管理安全事件生命周期的各个方面,从而提高分析师的工作效率并使分析师能够专注于提高安全性而不是执行手动任务
定义事件分析和响应程序,并利用安全手册以一致、透明和记录的方式确定响应流程的优先级、标准化和规模化
分析师能够快速准确地识别事件严重性级别并将其分配给安全警报,从而减少警报并缓解警报疲劳,从而加快事件响应速度
简化流程和操作,以更好地主动和被动地识别和管理潜在的漏洞
通过将每个安全事件路由给最适合响应该事件的分析师,同时提供支持团队和团队成员之间轻松通信和跟踪的功能,支持实时协作和非结构化调查
使用此 ROI 计算器了解 XSOAR
的优势,并获取自定义报告,以根据规模和使用情况清楚地显示 XSOAR
可以为您的组织带来的业务价值。
在不断发展和日益数字化的世界中,当今的组织在网络安全方面面临着众多挑战。威胁越复杂、恶意越多,公司就越需要开发一种高效、有效的方法来应对未来的安全运营。由于这种需求,SOAR
正在彻底改变安全运营团队管理、分析和响应警报和威胁的方式。
如今,安全运营团队的任务是每天手动处理数千个警报,从而导致错误和严重运营效率低下,更不用说低效、孤立和过时的安全工具,以及严重缺乏合格的网络安全人才。
许多安全运营团队都在努力连接来自不同系统的噪音,导致太多容易出错的手动流程,并且缺乏高技能人才来解决所有这些问题。
随着威胁和警报数量的不断增加,以及缺乏解决所有这些问题的资源,分析人员不仅被迫决定哪些警报值得认真对待并采取行动,哪些警报可以忽略,而且他们常常过度劳累,以至于有可能错过真正的警报。当他们试图应对威胁和不良代理时,最终会犯下大量错误。
因此,组织拥有 SOAR
平台等系统至关重要,使他们能够系统地编排和自动化警报和响应流程。通过过滤掉占用最多时间、精力和资源的日常任务,安全运营团队在处理和调查事件时更加有效和高效,从而能够极大地改善组织的整体安全状况。
SOAR 使您能够:
**集成安全 ...
威胁情报管理(Threat Intelligence
Management,TIM)是一种涉及收集、整理、分析和应用威胁情报的过程和技术。它旨在帮助组织有效地识别、评估和应对网络安全威胁。
TIM
的目标是提供有关威胁行为、攻击技术和安全漏洞的有用信息,以帮助组织预测和防范潜在的安全威胁。这些威胁情报可以来自多个来源,包括安全厂商、威胁情报提供商、公共安全组织、政府机构、漏洞数据库和组织内部的安全事件记录。
威胁情报管理通常涉及以下几个方面:
收集和整理威胁情报:TIM
系统通过监测和收集来自各种来源的威胁情报,例如恶意软件样本、网络攻击数据、漏洞公告等。然后将这些信息进行整理和分类,以便进一步分析和利用。
威胁情报分析:TIM
通过应用各种技术和工具,对收集到的威胁情报进行分析和评估。这包括分析攻击者的行为模式、攻击方法、目标以及他们可能使用的工具和技术。分析结果可以帮助组织了解威胁的本质和潜在影响,从而制定相应的应对策略。
威胁情报共享:TIM
允许组织将分析得出的威胁情报与其他组织共享,以便更广泛地了解和应对威胁。通过与其他组织的合作,可以加强整个安全社区对威胁的认识,并共同努 ...