安全人才嚴重匱乏催生"情報即服務"產業
責編:admin |2015-01-12 10:46:26在去年召開的RSA安全大會上,各類規模的企業都開始認識到高層員工與間諜機構之間關聯是前所未有。來自“威脅情報”以及端點保護等領域的初創企業則大力宣傳其高管團隊在RSA當中以先驅身份探討先進威脅與攻擊活動來源的出身背景。
然而,無論是在RSA安全大會還是其它活動平臺之上,2014年給我們留下深刻印象的仍然是網絡安全人才極度匱乏所導致的被動局面。在此期間,尋找在識別與分析復雜網絡威脅領域擁有豐富經驗的專家已經成為一項幾乎令人絕望的任務。而將他們真正拉入自家麾下則更是難上加難,事實上只有極少數企業有能力在內部體系當中負擔起構建網絡法務專家團隊所帶來的高昂成本。
在思科2014年年度安全報告當中,思科發現全球范圍內安全專家人才缺口已經超過一百萬,而這一現狀直接導致復雜及隱蔽性安全違規問題難以得到解決。報告強調,大多數企業及機構都不具備必要的人才或者系統方案,從而對擴展網絡進行持續性監控,更談不到隨后需要實現的及時且有效的入侵檢測以及保護機制部署。
Securosis公司分析師Mike Rothman指出,“我所聽到的、被提及最多的問題就是‘我們找不到合適的人選,’而且這里所說的還僅僅是那些有能力配置IPS(即入侵防御系統)設備、而非惡意軟件分析人才,”
而在解決這一問題的過程中,業界開始越來越多地將云方案擺在首要方案這一重要地位之上。最近幾年里,以CrowdStrike公司為代表的相關企業開始逐步崛起,嘗試將端點與網絡行為監控所獲得的“違規指標”同托管在云環境當中的數據分析服務結合在一起。
這種處理方式擁有獨特的優勢——特別是在IT環境正變得愈發開放,其中用戶行為已經不再局限于被保護在企業防火墻之后的特定端點集合當中。但威脅情報服務卻也存在著自己的短板,其主要表現在威脅緩和領域。安全專家們指出,要想切實完成威脅緩和這一既定目標,最具實際意義的作法在于將同環境本身相關的背景信息同樣納入保護當中。
“在威脅情報的演變過程中,出現了一系列相當值得關注的創新性成果,”Co3 Systems公司首席營銷官Ted Julian指出。“但只有在大家將其加以實際運用之后,此類成果才能夠切實發揮作用。其實際運用絕非易事,我們需要為其儲備完全不同于以往的技能組合。”
Co3公司打造出一套基于Web的軟件平臺,允許企業客戶從中獲取威脅情報并將其輸入到其它安全工具——例如安全信息管理工具——當中,進而創建出一套高度適合本公司實際情況、且包含詳盡細節的響應規劃。
其它多家安全企業則解決了“緊急事件響應”當中的其它一些重要組成部分。此類新型解決方案——大家不妨將其稱為“情報活動即服務”——通常是將一部分網絡與端點監控同基于云的管理平臺相結合,從而對來自其它客戶及第三方威脅情報機構的匯總數據進行整理與分析。這方面的倡導者認為,上述新型服務能夠成為解決網絡人才嚴重短缺難題的一種行之有效的辦法。
其中端點安全企業FireEye就是在推動“情報活動即服務”模式方面表現最為突出的安全廠商之一。該公司近來又傳出大新聞,宣稱其已經以10億美元價碼收購了托管安全服務企業Mandiant。Mandiant公司的成名之作在于其所謂“先進持續性威脅”(簡稱APT)解決方案,目前已經有眾多政府機關及其它高知名度企業加入其客戶陣營。
2014年年初,FireEye公司披露了一項托管安全服務,即FireEye Security Platform。這套方案將基于端點與網絡的保護機制與基于云的“監控與保護服務”加以結合,根據FireEye公司安全分析師的說法,其將“主動識別惡意活動,從而在此類攻擊起效之前搶先將其揪出并予以阻止。”
但陸續涌入這一領域的小型初創企業同樣不在少數。來自IT風險管理企業Rook Consulting公司(總部位于印第安納州波利斯市)的J.J. Thompson就指出,他已經在最近幾個月當中親眼見證了其企業的迅猛發展,即由原本提供量身定制咨詢服務的廠商轉變為更具規范性且以惡意活動及緊急事件響應為核心的標準化端點監控方案供應商。
Rook公司的客戶——其中大部分屬于大型企業——普遍不具備充足的人力或者專業知識,因此沒辦法憑借自身力量對其網絡當中的惡意軟件進行復雜程度較高的精密調查,Thompson解釋道。
來自馬薩諸塞州坎布里奇市的Cybereason公司則是另一家極具發展潛力的相關企業,他們承諾利用所謂“邊防”機制幫助客戶應對那些可能在違規網絡當中擁有數日、數周乃至數月潛伏周期的安全威脅。
Cybereason公司創立于2014年年初,其領導者Lior Div原本曾供職于以色列情報機構。根據他的說法,目前市場上的大部分網絡安全產品都將關注重點放在了攻擊活動的早期階段——即攻擊者嘗試突破企業防御體系——或者攻擊活動的最終階段——即攻擊者嘗試獲取敏感性數據。
與此相反,Cybereason公司的著眼點在于了解整個“malop”(即惡意操作)流程,即利用輕量級端點代理機制對端點進行持續性監控。由此收集到的數據會被傳送回Cybereason基于云的平臺當中,Div解釋稱,該公司就在這里利用其專利數據分析技術以及高素質專家及反惡意軟件工程師資源對其加以解剖——其中很多技術人才(包括Div本人在內)都在以色列國防軍(簡稱IDF)中接受過訓練。
除此之外,建立于2014年2月18日的Cyphort公司同樣憑借著出色的工具方案博得了廣泛關注,其產品將多平臺威脅檢測與機器學習技術加以融合、同時引入了其它一些相關工具,旨在幫助安全團隊識別攻擊活動并解決衍生問題。該公司CTO Ali Golshan指出,Cyphort的大部分現有客戶都已經擁有FireEye提供的技術方案,但他們仍然迫切需要了解關于攻擊活動的更多背景信息——例如其到底屬于騷擾性軟件還是數據竊取木馬——并渴望獲得威脅消除工作的具體說明與指導。
托管網絡取證與緊急事件響應方案的出現則標志著安全情報工作已經開始步入向云平臺邁進的全新發展階段,451集團分析師Wendy Nather如是說。
在某些情況下,此類服務可以被看作是現有安全管理服務的擴展或者是由云服務供應商向其客戶提供的各類臨時性應對手段的具體表現形式。“像Rackspace這樣的企業一直都在為客戶提供不間斷的緊急事件響應機制,”Nather表示。“雖然此類機制并不屬于服務合約當中的規定項目,但上述廠商仍然堅持肩負起此類任務、因為客戶自身根本沒有能力親手完成這些工作。”
Nather同時指出,托管緊急事件響應服務雖然擁有明確的受眾群體,但其發展過程中也必然面臨著諸多挑戰。首先,此類服務在規模化方面存在著難以逾越的障礙。此外,盡管幾乎每一家遭遇過攻擊活動的企業都希望獲得幫助以識別并消除此類威脅,但并不是所有客戶都愿意像網絡取證專家們那樣構建起一套各類豐富的根本性原因分析方案。“我們要做的是弄清楚客戶到底愿意在這條路上走多遠,”她解釋稱。
不過Co3公司的Julian表示,即使是規模較小的企業也同樣需要工具方案來幫助自身全面了解安全事件的后果以及由此給一家公司帶來的確切影響。“我們這個行業往往會將注意力集中在端點及惡意軟件層面,但即使是小型企業也需要明確掌握安全威脅的來龍去脈,”Julian總結道。