远程工作环境中的可视性与威胁检测

在新冠疫情开始之初，当世界各地的政府下达居家令时，我们很难想象工作状态会发生永久改变。不过，随着组织迅速采用和扩展系统，以支持在短短三周内规模翻了一番的远程员工队伍之后，公司文化也开始发生转变。随着员工开始适应远程工作模式，许多员工已经向他们的雇主证明，他们居家办公也可以保持与之前一样的高效率，甚至在某些情况下还可以提高工作效率。

由于这种被迫进行的尝试，许多专家和管理人员现在预测：这种灵活的居家办公策略将会继续存在。Gartner 的研究表明，有 41% 的员工将会继续居家办公，而在新冠疫情发生之前这一比例只有 30%。此外，已有 13% 的首席财务官 (CFO) 开始削减用于办公空间的房地产支出。随着远程工作模式的持续，安全专家需要采用相应的方法来维持已在消失多年的网络外围中几乎不存在的可视性、监控和威胁检测。

尽管存在新的盲点，但在以下四个关键领域中，集中式安全信息和事件管理 (SIEM) 解决方案可以帮助安全团队重新获得并提升可视性与监控。

电子邮件

有针对性的攻击者擅长编写极具吸引力的网络钓鱼电子邮件，而且他们的技巧会越来越纯熟。电子邮件是需要予以监控的最重要的威胁媒介之一，因为在进入组织网络的恶意软件中，有 94% 的恶意软件都是通过网络钓鱼来交付的。若要尽早了解这些威胁，更重要的是，若要准确跟踪网络钓鱼电子邮件打开后发生的情况，安全团队需要获得对整个组织中所发生情况的集中视图。

为此，安全运营中心 (SOC) 团队可以将相关电子邮件事件和网络流量的组合信息发送到集中式 SIEM 解决方案进行分析。通过摄入和分析电子邮件事件或电子邮件安全事件（例如来自 Proofpoint 或 Cisco IronPort 的事件），安全分析人员可以更有效、更全面地查看基于电子邮件的威胁。

为了获得更深入的洞察力，分析人员还可以利用网络分析功能来提取其他属性，例如电子邮件发件人、附件名称、文件哈希和 URL，然后将这些属性与威胁情报进行实时关联。如此一来，这种网络级洞察力可以针对可能预示着网络钓鱼攻击的已知威胁和可疑属性提供早期可视性并警报。

端点

在大规模转向远程工作模式之前，公司通常可以分为两种类型：

• 一种是那些几乎完全采用办公室工作模式，其用户使用台式机进行工作的公司，
• 而另一种是那些支持远程工作模式，其笔记本电脑上的用户可以通过 VPN 连接到网络的公司。

当员工几乎完全转向远程工作模式时，他们都会面临诸多挑战。之前采用办公室工作模式的组织需要迅速弄清楚如何为远程员工启用核心服务和应用，而且在某些情况下，还需要首次部署虚拟专用网络 (VPN)。支持远程工作模式的公司会发现 VPN 使用量激增，网络不堪重负且速度大大降低，从根本上迫使用户不得不脱离 VPN 来维持生产效率。从安全角度来看，两种情况都在端点和用户活动方面引入了大量盲点。

若要重新获得可视性，安全团队可以结合采用端点操作系统 (OS)、VPN 和端点检测与响应 (EDR) 事件来进行威胁检测。借助 Windows、macOS 和 Linux 的本地日志记录，安全团队可以洞悉端点级别发生的情况。通过使用 Sysmon 扩展 Windows 事件日志记录，团队可以获得更深入的威胁相关洞察力，例如流程活动和域名系统 (DNS) 请求。

对于使用 EDR 解决方案（例如 Carbon Black 或 CrowdStrike）的组织，可以将端点安全事件发送到集中式 SIEM 解决方案，并与其他企业数据相关联，以实现端到端威胁可视性。一旦 EDR 与 SIEM 进行了紧密集成，便可以直接从 SIEM 界面启动响应操作。最后，当用户登录 VPN 或通过基于风险的身份验证访问应用时，这些解决方案可以洞悉有关端点位置、MAC 地址、用户代理以及其他有价值的信息，进而提供这是否是真实用户的洞察力。

一旦通过单个位置收集了这些宝贵的数据，安全团队便可运用一系列机器学习和基于相关性的分析来检测已知和未知威胁。对于安全运营团队而言，寻找可提供预构建安全用例和分析的 SIEM 供应商尤为有用，这样他们就不必花费时间和金钱从头开始研究和开发这些产品。

应用

应用活动的监控应是团队的主要重点，因为与监控端点不同，组织即使在网络之外也仍然可以控制应用活动。应用监控还有助于暴露网络中已存在的攻击者。应用监控可以在多个级别上执行：

• 通过身份即服务 (IDaaS) 解决方案（例如 Cloud Identity Connect 或 Okta 登录时。
• 直接通过 SAP、SalesForce.com 或 Office 365 等应用登录、注销时。
• 通过 Zscaler 等云访问安全代理 (CASB) 解决方案来监控谁正在访问或试图访问哪些应用。
• 直接在应用堆栈内，包括 OS 容器编排平台（如 Kubernetes）、容器本身和这些环境中的 API 调用。

除了在每个级别上监控和分析事件之外，网络监控还可以提供有关应用数据如何在网络中流动、哪些人员和对象连接到了这些系统以及是否发现了异常流量的详细洞察力。这一新增的洞察层可以增强现有的可视性和洞察力，帮助安全团队更快发现一些可疑活动，例如受害帐户和横向移动数据渗透尝试等。此外，当攻击者获得足够的控制权，进而成功地使用检测规避技术（例如禁用日志记录）时，网络监视可能会特别有用。作为高度可靠的事实来源，网络数据可以显示系统和应用何时处于联机状态，即使它们没有发送日志，也可以继续提供针对这些系统和应用运行状况的可视性。

云

由于许多物理数据中心暂时关闭，因此组织迫切需要将 IT 系统的现场物理维护需求降至最低。许多组织已迅速加速了云基础架构的采用，为其工作负载和应用提供支持，以维持业务连续性。由于许多此类迁移已经进行了规划（通常只是按照随后的时间表进行），因此大多数安全团队都应期望这些投资能够继续保持。

为了更早地了解这些环境中的风险和威胁，安全团队可以监控一系列事件，包括用户活动、应用活动以及资源和配置更改。幸运的是，主要的公有云供应商（例如 AWS、IBM、Azure 和 Google Cloud））均提供了丰富的日志、事件和网络流数据集，这些可引入到集中式 SIEM 解决方案之中，进而实现内部和多云环境中的可视性和检测。

通过摄入此类数据并对其运用安全用例，分析人员可以获得有关多种可疑活动的洞察力，例如：

• 异常的用户和帐户活动，例如异常的身份验证活动、来自不同地理位置的多次登录或可疑的根用户活动。
• 异常的工作负载活动，包括异常的 API 调用、可疑的容器活动或访问资源的非标准服务。
• 高风险配置更改，例如可疑的 IAM 或安全组策略更改、S3 存储区策略更改或新证书或更改的证书。
• 可疑的资源更改，例如非标准的虚拟私有云 (VPC) 或 EC2 实例，或者 EC2 实例的数量或大小的快速增加。

尽管许多云提供商都可提供自己的原生安全功能，但其产品却无法集中查看跨环境的安全数据，导致分析人员不得不在复杂的数据孤岛中工作。如今，有 62% 的公有云采用者使用两个或多个公有云；平均而言，每个组织使用 4.8 个独立的公有云和私有云环境。对于疲于应对不断增长的工作负载的分析师来说，获得集中式的云可视性以及在威胁通过不同环境时对其进行自动分析、检测和跟踪的能力至关重要。能够跨云和内部环境摄入和分析事件和流数据的集中式 SIEM 解决方案，可帮助分析师在威胁升级并造成严重损害之前快速、更有效地检测威胁。

总结

由于正在快速转移到远程工作模式，许多 IT 组织现在已经部署了支持远程员工的技术。在过去的数月中，员工已经证明他们居家办公也可以保持较高的生产效率。随着我们迈向新常态，即将发生的一项明显变化就是更加灵活、对远程友好的工作策略。在此情况下，安全运营团队需要一种可持续的长期战略，以在具有新盲点且几乎没有任何剩余外围的网络上保持可视性和威胁检测。

通过加倍增加集中式安全分析，特别是网络钓鱼、端点、应用和云安全用例，安全分析人员可以获得新的洞察力，弥补丢失的可视性并最终帮助增强组织的安全态势。在如今安全团队由于远程工作而精疲力尽的时代，组织可以考虑部署具备以下优势的 SIEM 解决方案：能够在任何环境（包括 SaaS 或公有云）中运行、能够提供预构建用例，让检测变得更轻松并提高总体价值，同时能够提供与 SOAR 解决方案（如 Resilient）的紧密集成，进而加快端到端威胁检测、调查和响应周期。

了解更多信息，请访问IBM安全专题