每次网络攻击看起来都比以前更加复杂,因此安全团队会让我们相信。一般而言,违反行为可能很复杂,但是只有当您尝试重建攻击的故事时,这种复杂性才会显现出来,并且这种情况或故事情节很重要。这些复杂的故事情节通常始于公司系统的端点。
端点是员工可能在停车场发现USB设备的地方,他们好奇地知道其中有什么。或者,某个员工打开了一封电子邮件中收到的恶意PDF附件。可以看一下发生大量攻击的端点以获取可见性。端点是可用的网络和进程活动,甚至可以在其中进行外部设备监视。举例来说,是谁插入了那个USB,何时何地插入USB?
通过使用EPP(端点保护平台),我们比以往有了更多的攻击可见性:依靠病毒签名但完全不了解基于内存的恶意软件,横向移动,无文件恶意软件或零日攻击的产品。
但这就是问题所在:EPP可以保护端点,但不能使组织看到威胁。第一代EDR(端点检测和响应)工具是对EPP根本不提供的可见性需求的副产品。另一方面,这一代EDR(我们称为被动EDR)为我们提供了数据,但没有上下文。我们有难题的碎片,但没有整体图可以将它们融合在一起。
CISO的想法并不是对攻击中每一个断开的断开数据的渴望。相反,它更像是一个线索游戏:客厅里的芥末上校吗?有USB驱动器的承包商?国家赞助的威胁组织?威胁是否已缓解?如果已缓解,威胁持续了多长时间?哪些SOC的极少数分析师正在分析从其被动EDR涌入的数据海啸?
什么是行为AI,它如何提供帮助?
袭击后会发生什么?故事有两种方式,最有可能是您熟悉第一种严重问题的方式:即安全分析师必须筛选被动EDR产生的所有警报和异常。这些调查需要时间和技巧:鉴于发现,训练和留住具备操作安全平台专业知识的人员以及将小麦与谷壳分离的专业知识,从谷壳中分离出的真正剥削知识的人员非常困难,这是一种稀有商品。随机的错误。