2024 年 6 月，一家领先的汽车经销商软件供应商在成为勒索软件攻击的受害者后被迫关闭其核心 IT 系统。这使得他们的 15,000 家汽车经销商客户争先恐后地管理他们的销售、库存、财务和其他运营。由于没有适当的安全防御或灾难恢复机制，供应商被迫采取最后的手段——支付数百万美元的赎金以重新获得对其数据和系统的访问权限。

尽管目前尚不清楚勒索软件组织如何渗透到供应商的关键系统中，或者为什么恢复过程需要这么长时间，但如此大规模的情况可归因于许多因素：

• 姗姗来迟的软件更新加上缺少的安全补丁可能会导致攻击者利用的漏洞。
• 看似常规的电子邮件实际上是网络钓鱼尝试，可能会诱骗员工共享凭据或下载恶意软件。
• 不充分的访问控制和权限管理例程可能允许攻击者横向移动以获得对关键系统的控制权。
• 基础设施的可见性差可能会导致在评估违规程度以及了解攻击的传播和规模方面出现延迟。
• 缺乏备份和恢复机制可能会使恢复过程停滞不前。

这些看似孤立的问题最终指出了两个关键缺陷：

1. 延迟事件响应策略。	IT 安全和 IT 服务台团队之间工作脱节的结果。
2. 安全协议不充分和薄弱。

这突出了拥有和整合两个基本学科的必要性：ITSM 和 SecOps。

为什么要考虑集成 ITSM 和 SecOps？

随着数字化程度的不断提高、攻击面的扩大以及人工智能的快速采用，组织面临着发展速度超出其适应能力的威胁。

长期以来，ITSM 一直作为处理事件、满足服务请求和可靠执行 IT 变更的推动者而表现出色，重点关注生产力。然而，当今 IT 环境的复杂性加上网络威胁的演变，对 IT 团队所依赖的流程和框架（包括 ITSM）提出了更多要求。

前进的道路需要一种更加统一、全面和以安全为中心的服务管理方法，该方法将安全检查融入日常 ITSM 工作流程中，以跟上当今的威胁形势。

ITSM 可以填补的空白

从我们刚才概述的一些因素来看，例如由于缺少补丁而导致的可利用漏洞或由于网络钓鱼攻击导致的凭据滥用或由于访问控制薄弱而导致的横向移动，很明显，这些不仅仅是孤立的安全故障。他们还指出了 IT 服务台团队在 IT 安全团队的帮助下能够很好地解决的程序差距。

但是，如果没有一个通用的框架将所有内容联系在一起，您将再次在这两个团队之间出现支离破碎的流程和工具集。这就是安全优先的 ITSM 可以介入的地方，成为一个统一的连接层，为服务台和安全团队带来结构、问责制和可见性。当将安全性注入关键 ITSM 流程时，这些团队可以制定多管齐下的计划，不仅可以检测威胁，还可以快速采取行动。

让我们探讨一下您的 IT 服务台和安全团队可以联合起来支持其事件响应策略的一些方法。

1. 大规模推出补丁，同时有能力处理它们可能触发的任何事件

威胁行为者最常见的切入点之一？未修补的系统。定期安装补丁和固件升级可能是抵御恶意行为者的第一道防线。

虽然 SecOps 可以负责检测缺少安全补丁的系统，但 ITSM 可以介入处理补丁部署过程的协调、推出计划和治理方面。而且，如果部署后确实出现问题，它也可以帮助修复过程。

以下是安全和 IT 团队如何协同工作：

安全运营	ITSM
随时了解供应商建议，以了解组织软件堆栈中的潜在安全漏洞。	通过紧密耦合的 ITSM 实践（如更改、发布和资产管理）确保大规模系统部署补丁。
持续监控组织的网络以检测可被利用的漏洞。	通过相关利益相关者的多级批准促进适当的监督和治理。
请参阅补丁合规性数据，以识别缺少安全补丁的系统，并根据风险和业务影响确定补丁部署的优先级。	通过遵循和记录详细的推出计划、应急策略、软件许可协议和清单来降低风险。
向 IT 团队提供易受攻击的系统列表，并建议部署时间表。	利用事件管理来跟踪并立即解决因补丁失败而引起的问题。
验证部署的修补程序是否已成功修复漏洞。	通过利用 CMDB 提取具有最新补丁的系统的信息，监控部署后资产的运行状况。

2. 通过自动化事件响应工作流程遏制网络钓鱼攻击的影响

根据 IBM 的《2024 年数据泄露成本报告》，网络钓鱼是数据泄露的第二大常见原因，占案件的 15%。

网络钓鱼攻击不是针对您的网络，而是利用导致人为错误的纵。例如，通过诱骗员工点击恶意链接或下载恶意软件，攻击者可以获取受害者的凭据，然后从那里横向移动以执行他们想要的事情。

虽然 SecOps 可以负责检测网络钓鱼指标和可疑用户活动，但 ITSM 可以通过定义明确的工作流程触发补救作，以便及时调查和解决，以迅速遏制影响。

以下是安全和 IT 团队如何协同工作：

安全运营	ITSM
使用 UEBA 和 SIEM 解决方案监控和标记大量可疑电子邮件、异常用户行为、登录尝试和其他异常情况。	从 SIEM 工具提取警报，启动安全事件响应手册，并交叉引用 IAM 数据，以识别受感染用户处于活动状态的会话，并将其注销出这些会话。
为欺骗性域和恶意 IP 和 URL 等网络钓鱼指标设置警报。	跨 IAM、PAM 和 UEM 应用编排事件响应，以识别和禁用受损用户帐户、隔离和关闭受损设备、禁用其 USB 端口、重置凭据以及撤销特权访问。
向 IT 团队提出安全事件以启动解决流程。	通过知识库文章教育和培训用户如何发现网络钓鱼电子邮件、报告它们，以及如果他们成为攻击的牺牲品应遵循的步骤。

3. 加强访问治理，增强权限管理

威胁行为者经常试图利用特权过高的帐户，因为他们可以直接访问组织最有价值的资产。这就是为什么您需要将零信任原则融入您的服务请求工作流程中，并遵循最小权限原则，即用户只能访问他们需要的内容，仅此而已。

虽然 SecOps 可以负责执行安全策略并检测异常访问模式和可疑的权限升级尝试，但 ITSM 可以帮助简化访问配置、取消配置和访问批准，确保安全授予、有效跟踪和及时撤销权限。

以下是安全和 IT 团队如何协同工作：

安全运营	ITSM
强制实施策略以支持最小特权和实时访问原则。	接收、授权和管理访问预配请求。
监视特权会话并记录它们以用于审计目的。	使用预定义的工作流和多级审批进行试点治理，以确保仅在获得授权时才授予访问权限。
检测异常用户行为和权限提升尝试，并将其标记给 IT 团队。	在下线、角色更改或用户的特权会话结束期间自动撤销权限。
通知 IT 团队立即触发访问撤销或修改工作流。	将权限转移给另一个特权所有者，以防止内部参与者滥用常设权限。
	更新对 CI 的访问权限，使 CMDB 保持最新状态。

4. 通过资产清单和 CMDB 作为单一事实来源来弥合基础设施可见性差距

了解安全漏洞的程度，包括攻击的传播程度、哪些系统受到损害以及哪些服务受到影响，是应对攻击的第一步。这需要提高 IT 服务台和安全团队的可见性。

虽然 SecOps 带来了检测和分析威胁的工具和专业知识，但 ITSM 可以通过可靠的 CMDB 和资产清单记录维护资产、关系和服务影响的单一事实来源，从而提供更好的上下文。

以下是安全和 IT 团队如何协同工作：

安全运营	ITSM
通过 SIEM、UEBA 和威胁情报工具监控和标记网络、端点和用户活动中的异常。	跟踪、管理和处理用户报告的警报和事件或从监控集成中显示的警报和事件。
监控端点加密状态、活动权限和软件使用情况。	确定与受影响资产相关的违规相关事件的优先级并上报。
绘制横向移动路径以了解攻击传播。	维护所有系统及其与 CMDB 的连接的网络映射，作为单一事实来源。
记录威胁向量、违规入口点和入侵指标。	通过维护和利用 CMDB 中的服务依赖关系映射来协助影响分析。
通过定期审核执行持续的安全态势评估。	在根本原因分析和解决文档、事件后解决方面进行协作。

最后的思考

在当今的威胁形势下，实现长期弹性正成为一个难以实现的目标。然而，实现这一目标的一种方法是构建嵌入安全优先方法的网络弹性 ITSM 模型。如何实现这一目标取决于您的 IT 和安全团队合作的紧密程度。这就是为什么您需要调整 SecOps 和 ITSM 策略，以帮助您的组织获得防御网络攻击所需的可见性和结构，并为接下来发生的任何事情做好准备。

安孚官网：https://www.anfa.com.cn/

转载：Manage Engine