Rapid7公司. (纳斯达克:RPD), 安全和IT运营分析解决方案的领先提供商, 今天发布了第一份威胁情报报告, 2017年第一季度企业面临的威胁分析. 旨在提供威胁形势的清晰图片,并分享各行业对威胁类型的关键学习, 该报告还提供了对事件响应者一天生活的一瞥.
Rapid7相信协作和信息共享对于解决当今复杂的安全挑战至关重要. 随着2015年底网络安全信息共享法案(CISA)的通过, 私营和公共部门被授权安全地共享更多关于网络威胁的信息,并共同努力共同防御攻击. 这份威胁情报报告重申了Rapid7的承诺,即公开分享安全信息,并支持行业提出和解决影响网络安全社区的问题. 在此之前,Rapid7于今年2月宣布成为网络威胁联盟(CTA)的附属成员。, 该组织自称是业界首个由网络安全从业者组成的团体,他们真诚地合作,共享威胁信息,提高全球对先进网络对手的防御能力.
“CTA赞扬Rapid7制作这份报告. 它提供了关于威胁形势如何演变的非常有用的见解. 这也说明了为什么要积极主动, 在如此快速发展的威胁环境中,强大的信息共享是减轻网络漏洞的关键因素,迈克尔·丹尼尔说, CTA的主席. “CTA信息共享平台通过实现自动化的近实时共享,实现了这一角色, 背景网络威胁信息. 自动信息共享, 搭配上下文, 使Rapid7等CTA成员能够更有效地部署主动防御,并为各自的客户提供更有效的事件响应.”
该报告利用了Rapid7的Insight平台的情报, Rapid7管理服务Rapid7事件响应约定,以及Metasploit社区. Rapid7计划每季度发布一次威胁分析结果. Rapid7的丽贝卡·布朗领导了这项分析, 威胁情报线索, 鲍勃·鲁迪, 首席数据科学家, 并提供可操作的指导,以协助事件响应团队更快地适应新的和正在出现的威胁.
“经常, 威胁情报和数据科学报告提供了大量难以获取且难以应用的统计数据. 我们写这份报告的目的, 以及接下来的那些, 是为事件响应团队和SOC分析师提供精练的经验和实践, 从Rapid7不断收集的复杂丰富数据中获得可操作的指导,鲁迪说。.
2017年第一季度报告的主要内容包括:
#1. 多即是少. 少即是多.
减少警觉性疲劳应该一直是一个目标, 但还有更多:更好的信噪比意味着响应者和分析师更有可能看到有意义的趋势. 通过观察生成警报的时间, 本Q1分析发现,攻击者仍然严重依赖用户交互. 例如, 星期一假期, 警报显著下降, 我们的分析师认为这是因为员工很少接触恶意邮件, 附件, 等.
#2. 你会找到你想要的.
如果您仅根据当前可用的信息设计指标, 而不是寻找额外的情报或增加行业和公司特定的背景, 结果将是低质量的警报. 换句话说:虽然大多数警报是由已知触发的, 恶意行为, 这些警报的质量完全取决于既定的指标.
#3. 高级持续性威胁(APT)已死,APT万岁.
先进的持续威胁,复杂的对手,民族国家行为体 ... 有许多方法可以描述许多组织所担心的复杂的、有针对性的攻击类型. 了解组织的威胁配置文件可以帮助确定这些类型的攻击者是否应该在威胁环境中考虑. 对于与民族国家利益一致的行业组织-政府, 制造业, 航空航天-复杂的攻击活动是活跃的和踢. 在很大程度上, 该分析发现,这些行业以外的组织没有受到高度针对性攻击的显著影响.
#4. 我觉得有必要,有必要加快步伐.
而30天的补丁周期一度普遍有效, Apache Struts漏洞(CVE-2017-5638)为重新评估这种传统思维提供了一个强有力的案例. 就在Apache Struts漏洞被公开披露几天之后, 我们的分析人员开始发现大规模剥削的企图. 了解新漏洞带来的威胁, 映射到特定的威胁配置文件, 可以帮助确定什么时候需要优先处理.
威胁情报分析有助于快速了解攻击者的心态
除了向社区报告之外, Rapid7的威胁情报发现被用来为公司的产品和服务提供信息和指导. 加强Rapid7对攻击者心态的理解, 该团队的分析被用于评估威胁, 了解与这些威胁相关的行为标记, 并调整解决方案来抵御它们. Rapid7还使用威胁情报来帮助优先处理新暴露的漏洞.
“我们的目标是建立能够快速实施我们的情报发现的解决方案,以便在攻击在野外报告之前领先,布朗说. “例如, 一旦我们了解了威胁组织的行为, 我们使用Metasploit来模拟这种行为,并为我们的事件检测和响应产品和服务构建检测——希望这是在真实的攻击发生之前.”
新扩展的Rapid7 Insight分析平台允许在其产品中快速应用威胁学习, 包括事件检测和响应, 脆弱性管理, 操作, 以及应用程序安全解决方案. 基于云的平台使客户能够收集必要的数据,并利用适当的分析来检测, 优先考虑, 停止威胁. 具体地说, insighttidr客户可以通过公司的免费MDR威胁英特尔实时服务订阅精心策划的威胁分析和警报, 先进的检测.
Rapid7 (纳斯达克:RPD)是全球IT和安全专业人士信赖的风险管理软件, 简化现代IT的复杂性, 推动创新. Rapid7分析将当今大量的安全和IT数据转化为安全开发和运营复杂IT网络和应用程序所需的答案. Rapid7研究, 技术, 服务驱动漏洞管理, 渗透测试, App 保护。, 事件检测和响应, 并且日志管理为6个以上,超过110个国家的200个组织, 包括38%的财富1000强企业. 要了解有关Rapid7的更多信息或加入我们的威胁研究,请访问cg8.tincyn.net.