何谓数码风险保障(DRP)?

数字风险保护(DRP)是保护数字资产和品牌声誉免受外部威胁的过程. 随着越来越多的企业采用数字实践,威胁和 attack surfaces that can be exploited by threat actors increase. DRP解决方案的前提是,组织可以利用威胁参与者的活动,在攻击发生之前识别攻击.

Indeed, the 美国政府网络安全和基础设施安全局(CISA) 是否说过,在私营部门运营的组织之间共享信息对于更全面地了解可能在组织内部和组织之间产生级联影响的横切和共享风险至关重要, sectors, 和国家关键职能.

This is why it’s imperative to institute a DRP solution that can correlate multiple sources of telemetry; one that can scan the clear, deep, 暗网的潜在危险以及主动识别和研究恶意软件, phishing scams, and other threat actors.

能够建立一个解决方案,既可以连接这些不同的可疑活动来源,又可以帮助保护网络,这似乎是压倒性的. These days, however, 安全组织别无选择,只能尝试这样做——然后进一步推动风险缓解和威胁情报策略,继续领先于攻击者一步.

数码风险保障如何运作? 

DRP的工作原理是利用从 Cyber Threat Intelligence (CTI) 监测以突出可操作和具体的保护措施. CTI监控使用来自多个来源的数据来构建威胁环境的快照. 这可以识别针对组织的新威胁,并允许在攻击发生之前进行主动缓解.

DRP平台使用智能算法加上多种侦察方法进行查找, track, and analyze threats in real time. Using both indicators of compromise (IOCs) 攻击指标(IOAs)情报, DRP解决方案可以分析风险,并警告安全团队潜在的或即将发生的攻击.

DRP系统的数据处理和分析能力可以防止安全团队被情报数据淹没,从而忽略相关的威胁. They can continuously find, monitor, 并实时降低针对组织数字资产的风险.

DRP系统还应该能够通过高级调查和映射功能来简化工作流程,这些功能可以创建高度情境化的警报, 将分析师从筛选噪音中解放出来. 企业和安全组织是, after all, looking to drive forward underlying goals and broader initiatives; there is no way for an organization to pause its digital footprint from evolving.

Therefore, 一个有效的DRP平台还必须与安全组织和业务一起发展, 识别新的潜在攻击媒介,并预测网络及其系统的下一个暴露区域.

数字风险保护的四个象限

DRP需要采取多方面的方法. 下面列出的四个象限结合起来提供有效的DRP解决方案.

数字风险保护(DRP)的四个象限

Map

了解数字攻击面对于确定威胁行为者可能进行攻击的方式和位置至关重要. 这包括对数字资产的评估,并有助于为安全组织如何监控可疑威胁活动奠定基础. 

Monitor

DRP解决方案将数百万个数据点转化为可操作的商业智能. 这是通过多维威胁分析完成的, digital footprint contextualization, and threat evolution tracking.

Mitigate

使用DRP解决方案自动化威胁缓解过程使组织能够将安全支持扩展到其他部门和公司计划. 

Manage

这指的是管理DRP解决方案以及实现策略, additional threat research, human intelligence, 丰富ioc并优先处理漏洞.

Digital Risk Protection Use Cases

有效的DRP部署可以减轻安全负担,并使团队能够专注于基本的业务任务. 让我们看一下基于全面CTI的DRP如何使IT专业人员的工作更轻松的例子.

Phishing Detection

Phishing 威胁参与者最常用的攻击媒介是什么. 跟踪网络钓鱼指标-注册域名, mail exchange (MX) record changes, DNS信誉-使用DRP可以识别计划的网络钓鱼骗局,并使冒名顶替的域名和站点下线.

VIP and Executive Protection

Spear phishing 以组织内的真实用户为目标的做法很普遍. DRP可以识别欺骗计划并保护属于vip的数字资产, executives, and other personnel.

Vulnerability Prioritization

CTI和DRP收集和分析的安全数据量一直在增加. DRP使用智能算法自动筛选这些数据,并为安全团队优先考虑警报. 重点放在最紧迫和最紧迫的威胁指标上.

Dark Web Monitoring

大多数恶意网络攻击计划和活动发生在 dark web. DRP解决方案监控讨论和计划犯罪活动的所有场所, 使该过程对识别和减轻威胁至关重要.

Brand Protection

Brands are valuable. DRP monitors for domain spoofing 以及通过使用品牌或相近的类似物进行IP地址欺骗. 取缔这些非法活动可以保护企业的IT系统及其声誉.

Fraud Protection

DRP监控非法金融和敏感数据拍卖. 有价值的数据在暗网上出售,用于网络钓鱼和其他攻击, 这意味着监控这种活动是至关重要的.

Malicious App Identification

威胁行为者敏锐地意识到,移动应用程序对现代商业至关重要, 这就是为什么他们通过部署模仿真实应用的假应用来窃取消费者数据. DRP可以监控并突出显示这些恶意移动应用程序.

Automated Threat Mitigation

对已查明的威胁作出快速反应是必不可少的. 基于预定义标准的自动化响应为用户和数据提供了更好的安全性.

Leaked Credentials Monitoring

被盗的登录和其他访问凭证对于威胁参与者来说是宝贵的资产. DRP解决方案监视web上对泄漏凭据的引用,并在发现时向安全专业人员发出警报.

Sensitive Data Leakage Monitoring

泄露的数据对于威胁行为者来说也是很有价值的. DRP监控有关数据泄露的讨论, 当在网上或暗网上发现任何与组织数据有关的引用时,它会发出警报. 这在包含复杂数据集的大型数据泄露中特别有用.

Supply Chain Risk Protection

大多数组织都有广泛的物理和数字供应链. DRP可以监视供应商使用的系统的引用,这样通过访问业务网络的可信但不知情的供应合作伙伴发生违规的可能性就会降低.

Digital Risk Protection Services

通过寻找安全服务提供商来帮助管理DRP程序, 组织可以实现节省时间的好处,使分析人员能够专注于影响业务的更大的问题. But what should a security operations center (SOC) 在寻找正确的时候要寻找 managed digital risk protection (MDRP) provider?

  • Analysis:手工和耗时的流程会影响安全人员的工作效率. 在暗网或基于web的Git存储库上花费数小时分析风险信号,可以很容易地转移到MDRP上,MDRP带来的专业知识可以更快地解决问题.
  • Partnership在战壕中度过数小时/数天/数周后, MDRP提供商应该能够带着清晰的、可操作的见解与客户分享,并就向前推进的计划进行合作.  
  • ROI:如果一个组织找到了符合其特定需求的合适合作伙伴, ROI should likely follow in time. A regular retainer will, of course, go to the MDRP provider, 但随着效率的提高,这项服务很可能会收回成本,然后再收回成本. 
  • Risk comprehension:安全组织将获得对其风险概况的快速和前所未有的可见性,以及这可以给整个业务带来的好处, 特别是作为一个提供商,可以帮助减轻威胁,比如 data leakage在面临威胁时确保品牌声誉.  
  • Business outcomes: Lastly, 通过假设风险分析和保护的权重, MDRP提供商将能够帮助他们的客户在风险缓解方面采取更积极主动的立场. It isn’t enough to react in this modern threat environment; organizations must be proactive in increasingly intelligent ways.  

阅读更多关于数字风险保护的信息

有效威胁情报计划的4个简单步骤

网络威胁情报(CTI)的演变

威胁情报新闻:最新的Rapid7博客文章