XDR如何帮助保护关键基础设施

哈客cc lv.2

发布时间：2023-07-13 12:04:33 233

相关标签： # 监控# 攻击# 软件# 信息# 黑客

关键基础设施对社会生存、增长和发展至关重要。社会依赖于电信、能源、医疗保健、交通和信息技术等关键基础设施部门提供的服务。安全和安保对于这些关键基础设施的最佳运行至关重要。关键基础设施由数字和非数字资产组成。组织必须在网络安全威胁面前保持领先，以防止关键基础设施受到网络攻击而导致的故障。在充满威胁的不断变化的环境中找到保护数字资产的方法是一项持续的活动。组织还必须采用高效的安全解决方案和最佳做法，以保持安全并减少妥协的机会。

安全解决方案有助于保护和提高组织威胁环境的可见性。不同的解决方案使用不同的概念和方法。最近兴起的一个重要概念是扩展检测和响应（XDR）。

XDR解决方案提供跨多个层的检测和响应能力。XDR工具通过从各种来源（如网络设备、服务器和应用程序）收集日志和事件，使用威胁检测和响应方法关联数据。这些能力使安全团队能够快速发现、调查和应对事件。

对关键基础设施的攻击

2022年2月，德国一家能源巨头发生供应链袭击。这次袭击导致德国全国200多家加油站关闭，影响了生活和商业。这一事件发生在美利坚合众国殖民地管道袭击事件近一年后，当时发生了数据泄露，勒索软件感染导致其基础设施内的数字服务关闭了数天。《纽约时报》的一篇文章报道称，估计有500万美元被支付给了参与Colonial Pipeline勒索软件攻击的黑客。Colonial Pipeline案中的黑客能够使用一个被泄露的VPN密码进入，在被发现之前，他们进行了整整一天的入侵活动。

对关键基础设施的攻击有几个切入点，有些媒介比其他媒介更为普遍。这些载体包括泄露的凭据、未修补的操作系统、易受攻击的应用程序和通过各种技术传递的恶意软件。

无论攻击是如何产生的，都应强调在攻击发生之前确保关键基础设施的安全。安全解决方案帮助组织保护自己免受不同的攻击。这些解决方案包括XDR、SIEM、代码扫描器、基础设施分析器、漏洞扫描器和恶意软件检测解决方案。除这些解决方案外，还有合规标准。一些推荐标准是NIST、PCI DSS、HIPAA和GDPR。正确应用这些解决方案和合规标准有助于改善组织的安全态势。

XDR如何减轻攻击

XDR在威胁行为者针对组织的不同数字资产的情况下发挥着重要作用。通过将XDR集成到组织的基础架构中，可以分析和关联来自各种来源和资产的安全事件，以确定基础架构中正在发生的活动。XDR能够检测并提供对环境中恶意活动的自动响应。这样的响应可以杀死恶意进程、删除恶意文件或隔离受攻击的端点。由于响应几乎是实时执行的，速度在这些任务的执行中起着关键作用。

Wazuh SIEM/XDR公司

Wazuh是一个免费的开源SIEM和XDR平台。它包括几个保护云和本地工作负载的组件。Wazuh平台采用代理服务器模式运行。Wazuh中心组件（服务器、索引器和仪表板）分析基础设施中端点的安全数据。同时，Wazuh代理部署在端点上，以收集安全数据并提供威胁检测和响应。Wazuh代理是轻量级的，支持多个平台。Wazuh还支持路由器、防火墙和交换机上的无代理监控。

深度XDR功能

Wazuh具有多种功能，可帮助组织在安全威胁面前保持领先。其中一些功能包括恶意软件检测、漏洞检测、文件完整性监控和对威胁的自动响应等。以下部分包含有关Wazuh功能的更多详细信息，这些功能有助于保护关键基础设施。

日志数据分析

Wazuh日志数据分析模块从各种来源收集和分析安全数据。这些数据包括系统事件日志、应用程序日志和异常系统行为日志。因此，分析的数据用于威胁检测和自动响应。此功能使您能够查看基础结构中不同端点发生的事件。

恶意软件检测

Wazuh有几个功能可以帮助检测恶意软件。此外，Wazuh可以与YARA和VirusTotal等其他安全工具集成，以检测恶意软件。通过正确配置Wazuh常量数据库（CDB）列表，可以将用户、文件哈希、IP地址或域名等解码警报的值与恶意记录进行比较。这里有一篇博客文章，展示了Wazuh如何与CDB列表集成，以检测和响应恶意文件。Wazuh功能可帮助您检测各种受监控端点上的恶意软件。

文件完整性监控

Wazuh文件完整性监视（FIM）模块监视端点文件系统，以检测预定义文件和目录中的更改。当在受监控的目录中创建、修改或删除文件时，会触发警报。在博客文章“检测Linux端点上的非法加密矿工”中，您可以看到该模块如何用于检测SSH密钥文件的更改。使用Wazuh FIM模块，您可以检测关键系统上配置文件的更改，并确定活动是授权的还是恶意的。

漏洞检测

Wazuh使用漏洞检测器模块查找受监控端点上的漏洞。漏洞检测通过执行软件审计来工作。通过利用从Canonical、Debian、Red Hat、Arch Linux、ALAS（Amazon Linux Advisories Security）、Microsoft和National vulnerability Database等来源索引的漏洞源，这些审计成为可能。Wazuh将这些提要与端点应用程序清单中的信息进行交叉关联。管理员应在检测到漏洞后立即开始补救，然后恶意行为者才能利用漏洞。

自动应对威胁

Wazuh主动响应模块可配置为在事件符合特定标准时自动执行应对措施。它可以执行用户定义的操作，例如防火墙阻止或删除、流量整形或节流、帐户锁定、系统关闭等。主动响应模块被配置为在博客文章“使用Suricata和Wazuh XDR响应网络攻击”中拒绝来自已识别恶意源的网络连接。

结论

跨关键基础架构的多个层实施安全性可减少组织的攻击面。我们强调了保持适当的安全态势需要记住的几个因素。在保护您的数字资产方面，我们建议一种与各种端点、系统和技术配合使用的解决方案。

Wazuh是一个免费的开源XDR解决方案。它包括发现漏洞、确定系统配置状态和响应数字资产威胁所需的功能。Wazuh还支持PCI DSS、HIPAA、NIST和GDPR等合规标准。Wazuh拥有一个不断增长的社区，为用户提供支持。查看Wazuh文档了解更多信息。

文章来源： https://thehackernews.com/2022/12/how-xdr-helps-protect-critical.html

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。