保持全面可視性
當今的動態環境為攻擊者提供大量潛入網絡而不被注意的機會。防御零日威脅需要對網絡的全面可視性。你需要了解所有資產的位置以及它們如何正常工作,以識別可表明攻擊早期階段的異常活動,這一點至關重要。持續監控端點、SaaS和云環境,以及自定義Web應用程序可以提供可視性,以識別潛在漏洞和威脅。同時可以沿攻擊鏈部署檢測。攻擊者通常會認為,企業還沒有部署資源來支持這種級別的可視性。
查看漏洞公告資訊
正如經驗豐富的偵探高度警覺地收集信息,安全管理員也應該關注有關不斷變化的網絡威脅的討論。無休止的攻擊速度和24小時新聞周期讓你可以了解有關新漏洞、正在發展的威脅和數據泄露事故的可用信息。你可能很難查看所有信息,但有些策略可以幫助你過濾噪聲并獲取所需的信息。
你需要養成習慣,查看漏洞警報和漏洞公告信息。SANSInternetStormCenter、SecLists.org和NationalVulnerabilityDatabase等提供警報和漏洞討論、漏洞利用技術和行業消息。通常,此類論壇中會討論新威脅的第一個指標及其目標。這些對話可以幫助安全團隊在威脅被發現之前保護易受攻擊的環境。
另一種保持知情的方式是,在社交媒體上關注安全內部人士和與安全相關的話題。例如,在微博可使用##符號查看熱門話題,你可以輕松跟蹤有關當前網絡安全的實時討論。用戶還可以圍繞特定主題、供應商和安全內部人員創建自己的內容。
制定補丁修復管理計劃
重要的是,與ITOps開發和安全團隊協商補丁管理計劃。當供應商發布零日漏洞修復程序后,這將能夠快速修復關鍵系統。
對于很多企業而言,補丁修復管理并不是簡單的事情。在復雜的現代環境中,部署補丁有時會產生意想不到的影響,例如減慢硬件速度、禁用系統或阻礙業務運營。修復程序也可能需要大量時間和資源,因為員工必須測試和部署修補程序,并重新啟動系統以完成部署。自動化補丁管理可以緩解這些問題。這些產品會從供應商處下載補丁、掃描環境中是否有缺失的補丁、測試補丁帶來的影響、自動部署補丁,并報告補丁管理過程的狀態。
請注意,補丁管理無法防止零時差攻擊,但可以減少受到零時差攻擊的可能性。軟件供應商可能會在發布后數小時或數天內針對嚴重漏洞發布補丁。有效的補丁管理計劃將幫助安全團隊在攻擊者利用漏洞和破壞系統前部署補丁。
與MDR提供商合作以提供更強大的保護
通常,只有大型企業擁有足夠的內部資源以有效防御零日威脅。中小型企業缺乏維持上述措施的人員、工具和專業知識。對于這些企業,與托管檢測和響應(MDR)提供商合作可能是不錯的選擇。
MDR可以幫助抵御零日攻擊。它強調深度可視性和24/7監控,可幫助企業識別在其環境中任何地方發生的未經授權事件。它還通過持續的威脅情報獲取信息,以隨時了解企業網絡、端點、服務器和云環境中的當前威脅和漏洞。當檢測到威脅時,MDR可為企業提供指導性專業知識和人工干預,以調查和修復威脅。
