網(wǎng)絡(luò)安全人員網(wǎng)絡(luò)難以獲得威脅情報(bào)的益處。幸運(yùn)的是,克服這些難題的方法并非不存在。
進(jìn)攻就是最好的防御。想要獲得最佳防御,我們必須采取主動(dòng)。只要感知到,必然有所準(zhǔn)備。無論你的網(wǎng)絡(luò)安全團(tuán)隊(duì)信奉哪種策略,對(duì)抗網(wǎng)絡(luò)犯罪都需要偵聽對(duì)手的動(dòng)靜以預(yù)測(cè)威脅。
這就是威脅情報(bào)存在的意義,難道不是嗎?在被黑客惡意利用之前識(shí)別并修復(fù)企業(yè)IT基礎(chǔ)設(shè)施中的弱點(diǎn)。至少理論上是這么說的沒錯(cuò)吧?而且很多公司企業(yè)也確實(shí)在買入各種威脅情報(bào),威脅情報(bào)服務(wù)全球總支出從2014年的9.055億美元上升到2018年預(yù)期將超過的14億美元就是明證。
問題在于,CSO和網(wǎng)絡(luò)安全人員常常難以抽取威脅情報(bào)的好處。我們不妨分析一下其中的原因,找出解決問題的辦法。
1. 與特定網(wǎng)絡(luò)安全需求不相匹配
網(wǎng)絡(luò)安全團(tuán)隊(duì)有時(shí)候會(huì)將威脅情報(bào)視為能抵御黑客和騙子的快速解決方案。但這一期待實(shí)在是有些過高了。事實(shí)是,世上根本沒有一招通吃的萬能威脅情報(bào)。
相反,威脅情報(bào)解決方案應(yīng)根據(jù)每家企業(yè)、附屬公司,甚至各個(gè)部門自身的特定安全需求來實(shí)現(xiàn),否則最后拿到的就只是一堆毫不相關(guān)的堆砌數(shù)據(jù),只會(huì)給公司一種虛幻的安全感。
比如說,金融服務(wù)公司可能就只想密切注意旨在欺騙目標(biāo)人物交出信用卡和銀行賬號(hào)的假冒網(wǎng)站和惡意聯(lián)系表單。
同時(shí),技術(shù)提供商關(guān)注的就是確保私有信息(比如商業(yè)秘密和研發(fā)進(jìn)度)不落入壞人手里,無論是通過電子郵件欺騙還是加密漏洞,或者是惡意軟件。
2. 沒資源來根據(jù)威脅情報(bào)采取行動(dòng)
即便拿到了威脅情報(bào),你打算怎么使用該信息來響應(yīng)即將到來的威脅呢?現(xiàn)實(shí)是,多重原因作用下,44%的日常安全警報(bào)從未被調(diào)查,威脅情報(bào)數(shù)據(jù)也從未被利用。
有可能是公司里沒人知道怎么翻譯自己看到的情報(bào),就更別提根據(jù)情報(bào)采取行動(dòng)了。或者是公司領(lǐng)導(dǎo)層就不重視這方面,也缺乏筑起防御所需響應(yīng)的預(yù)算。
無論如何,只知道有問題,但不理解安全漏洞到底在哪兒,或者沒有解決問題的途徑,是無法減少網(wǎng)絡(luò)攻擊的普遍性或烈度的。
想要彌補(bǔ)這一缺口,最好獲得來自高管層的支持,分配資源對(duì)相關(guān)員工進(jìn)行威脅情報(bào)工作實(shí)操和漏洞處理切實(shí)步驟的培訓(xùn)。
3. 將威脅情報(bào)等同于其他網(wǎng)絡(luò)安全工作
威脅情報(bào)與其他網(wǎng)絡(luò)安全工作之間有著不可否認(rèn)的聯(lián)系。威脅情報(bào)是為安全意識(shí)培訓(xùn)、服務(wù)器錯(cuò)誤配置發(fā)現(xiàn)、新興惡意軟件認(rèn)知等安全工作提供指導(dǎo)的。
遵照這個(gè)思路,很容易就會(huì)假定任何安全人員都具備處理威脅情報(bào)的素質(zhì)。然而,威脅情報(bào)與其他安全工作之間存在方向和方法論上的巨大差異。
首先,威脅情報(bào)是具備大局觀的分析師的工作,要為主動(dòng)威脅預(yù)防和攔截建立網(wǎng)絡(luò)安全路線圖。這與事件響應(yīng)專家在事件發(fā)生時(shí)逐一加以緩解的角色大為不同。
有必要承認(rèn)這種差異性,在網(wǎng)絡(luò)安全團(tuán)隊(duì)中重新分配職責(zé),設(shè)立專門的人監(jiān)視現(xiàn)有和新近納入的在線資產(chǎn)上的新興威脅。
4. 沒能集成威脅情報(bào)
你怎么確定網(wǎng)絡(luò)安全人員使用了威脅情報(bào)洞見?產(chǎn)品引進(jìn)的最快途徑就是將創(chuàng)新鏈接進(jìn)用戶已經(jīng)接受了的事物中,威脅情報(bào)也不例外。
事實(shí)上,很有必要將威脅情報(bào)及其數(shù)據(jù)饋送連接上已經(jīng)部署了的常見軟件,比如安全信息與事件管理(SIEM)應(yīng)用。這么做可以加速威脅情報(bào)實(shí)現(xiàn),讓威脅洞見作為整體網(wǎng)絡(luò)安全項(xiàng)目的一部分更容易被獲取到。
缺乏集成不僅會(huì)削弱威脅情報(bào)的效用,還會(huì)增加網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作量,讓他們陷入手工收集和比較數(shù)據(jù)以評(píng)估基礎(chǔ)設(shè)施健康度的無盡麻煩中。
5. 忽視威脅情報(bào)術(shù)語
取決于你的交談對(duì)象,威脅情報(bào)意味著不同的東西,其相應(yīng)的語言也區(qū)別很大。如果忽略了這一點(diǎn),公司各類利益相關(guān)者很快就會(huì)搞不清楚狀況,不理解你在說什么。
高級(jí)經(jīng)理談?wù)撏{情報(bào)的時(shí)候,重點(diǎn)可能在于高層決策。比如,這個(gè)財(cái)年的安全預(yù)算花在哪兒?哪家技術(shù)供應(yīng)商因?yàn)闆]遵守公司安全策略而需要被踢出去?
但如果是網(wǎng)絡(luò)安全分析師湊一堆,談話就完全是技術(shù)型的了。比如,我們的SSL證書到期沒?我們要不要連接那個(gè)惡意軟件數(shù)據(jù)庫探查勒索軟件攻擊?員工日常訪問的前100家網(wǎng)站都是啥?
通過內(nèi)部溝通與宣傳活動(dòng),我們有必要確保相關(guān)各方意識(shí)到看待威脅情報(bào)的不同角度。總體上,威脅情報(bào)視角可分為兩個(gè)層面,一個(gè)考慮并購與長期合作伙伴關(guān)系之類戰(zhàn)略性事務(wù),另一個(gè)注重操作層面的問題,比如網(wǎng)站、服務(wù)器和應(yīng)用的強(qiáng)化、修復(fù)及配置。
與其他新操作一樣,威脅情報(bào)自帶吸引CSO及其安全團(tuán)隊(duì)的各種美好前景。但上文中討論的幾種誤解,會(huì)持續(xù)阻礙威脅情報(bào)的全面部署和打擊網(wǎng)絡(luò)犯罪的潛力發(fā)揮。
