简介
考虑到SolarWinds入侵的范围及其后果,可以肯定的是,在未来的几个月或几年里,某些SOC实践将会发生变化。虽然供应链漏洞的概念并不新鲜(正如任何主要信息安全会议的与会者可以证实的那样),但这一系列不幸的事件已经使供应链完整性和安全成为人们最关注的问题,至少目前是这样。想要了解更多关于缺口可能如何影响态度和行为的信息,DomainTools进行了一项调查的信息安全从业者,以了解该事件对他们的影响,以及他们未来的计划可能如何演变。
我们调查了谁,问了什么
该调查的大约200名受访者包括一线从业人员、管理人员和高管,代表了各种规模的公司,但绝大多数人在大型或超大型企业工作。可以肯定地说,这是一个对SOC正在发生的事情有很好的了解的群体。我们的问题大致可以分为五类:
- 被调查者自己的组织是否或在多大程度上受到了太阳风相关漏洞的影响
- 在这些组织中,现在和未来的威胁追踪的作用
- 归因在反应或狩猎活动中的作用
- 基于dns的数据和分析在响应或狩猎活动中的作用
- 消费者/供应商的关系将如何变化
对被调查机构的影响
约19%的受访者表示,他们所在的机构受到了直接影响,而约65%的受访者表示,他们没有受到影响。其余的人不确定。至于新闻的重要性,60%多一点的人表示高度关注,几乎正好有三分之一的人表示略微关注,还有一些漫不经心的人根本不关心。略低于40%的受访者表示,事件直接影响了他们的工作,事件响应(IR)、研究和报告是主要关注的领域。
我们还询问了关于可见性的问题——具体地说,“由于SolarWinds的入侵,您对安全信息或内部流程的可见性有多大信心?”在回答这个问题时,21%的人表示他们非常自信,约51%的人表示自己相当自信,略高于20%的人表示有点自信,而7%的人则完全不自信。在SOC中,能见度就算不是一切,也很接近了,所以7%和20%的“轻微信心”是令人担忧的。
威胁追踪的作用
作为基准,大约62%的受访者拥有一个威胁搜索团队。但这一数字在几个月或几年后可能会有所不同:大约三分之一的受访者表示,由于“太阳风”项目,他们打算提高组建威胁搜索团队的优先级。这确实留下了一个明显的点,对绝大多数人来说,这一事件并没有实质性地改变他们的威胁搜索人员配备。
对于那些拥有狩猎团队的公司,超过一半(约55%)表示,他们将在供应链攻击中引入新的狩猎技术(参见最近的DomainTools网络研讨会关于这个主题的更多信息)。一些拥有威胁搜索团队的受访者报告说,在太阳风事件之后,这些团队将获得更多的资源。
DNS数据的作用
读到这篇文章的人应该不会对一家专注于基于dns的英特尔和数据的公司在调查中询问这些问题感到惊讶乐动体育官网下载。在这方面,我们不会假装不偏不倚。受访者是这样说的:略多于三分之一(约36%)的人严重依赖基于dns的数据,而大约56%的人有点依赖它,略多于10%的人不经常使用它。对于“有些”类别的团队来说,可以合理地假设许多SOC工作流与基于internet的可观察对象没有任何关系。寻找横向移动的迹象,或者构建YARA规则来检测流氓二进制文件(举几个例子),不需要DNS数据。当涉及到分析和获取从受保护环境到恶意或可疑基础设施的出站流量的上下文时,当然,情况就非常不同了,事实上,几乎90%的人表示,对于专门查看SolarWinds参与者,DNS数据是“相当”到“非常”重要的。有关基于dns的数据和智能如何通知SOC功能的更多细节,请参见最近的博客乔Slowik而且你的真正的.
归因:对蓝队队员重要吗?
在任何引人注目的网络事件中,首先要解决的问题之一,尤其是在大众媒体层面,是“是谁干的?”而且,在备受瞩目的事件中,对于谁该对此负责的猜测向来不乏。这是人类自然的好奇心。然而,我们断言,虽然对攻击或入侵的起源感到好奇是可以理解的,但蓝队成员通常不应该在归因上花费太多时间或精力。首先,即使是资源最丰富的机构(比如国家级别的反间谍或执法机构)也很难做到正确;另一方面,这通常是非常耗时和劳动密集型的——这是假设您甚至有足够的正确类型的高置信度数据来进行可行的尝试。
不过,我们的受访者确实表示,归因对他们来说很重要。约44%的人表示,他们非常重视防范国家支持的攻击,另有37%的人认为这是中等程度的重视。只有略低于20%的人认为这种强调程度是“低”。他们认为这很重要的最大原因(61%)是,它指导了应该寻找什么样的战术、技术和程序(TTPs)和妥协指标(ioc)。其次,大约46%的人认为,国家赞助的归属有助于获得更多的资源分配。近40%的人表示,归因是他们报道某一事件的必要条件。
最后一点将团队置于一个有趣的位置,如果期望他们自己做归因。如果引用高度合格的外部来源,那么这就构成了较小的挑战,但再次强调,即使是最优秀的专家也不总是能够给出高可信度的归因。
供应商关系
任何供应链事件都引发了关于如何保护涉及外部软件或aaS服务的生态系统的问题。我们的受访者在回答“SolarWinds的黑客攻击将如何改变你们未来管理供应商/供应链安全和风险的方法?”这个问题时,对此做出了相对强烈的陈述。几乎四分之三的人提到了他们将做出的改变,包括要求供应商遵守组织自己的安全标准,包括法律认证(47%),增加网络分割以隔离供应商软件和硬件(39%),实施静态和动态应用程序安全测试(S/DAST)(24%),切断与敌对国家相关的供应商的联系(19%),以及减少对供应商的总体依赖(17%)。
这些变化是可以理解的。这也是一项艰巨的任务,至少我们调查中提到的一些计划可能会被搁置。很少有公司能够消除对第三方系统的依赖,对于那些不能这样做的公司来说,其他措施最多只能代表大量的工作(更改网络拓扑结构,运行S/DAST),最坏的情况下,可能是不可能的(从供应商那里获得关于满足客户强加的标准的合法认证)。然而,对于组织来说,探索这些选择是完全适当和健康的。
这一切意味着什么?
回到威胁狩猎的主题和这个事件对它的意义上,我们很高兴地看到,在调查中超过一半的受访者已经有了狩猎团队。对于许多组织来说,这是一种新功能,或者DFIR人员在有时间时才会做的事情——对于许多团队来说,这几乎等于零。我们还高兴地看到,几乎三分之二的组织没有直接受到太阳风事件的影响。随着所有关于它是如何广泛传播的新闻,最好记住的是,许多人已经能够将他们的注意力集中在其他威胁和补救措施上。当然,我们肯定鼓励使用DNS数据,并邀请任何没有花太多时间使用此类数据的SOC人员参加我们的网络研讨会,例如非正式的“指标在鸡尾酒,以进一步了解它在建立强大的探测和防御系统方面所能发挥的作用。
在外面注意安全!