我們需要的是安全知識(shí)而不僅僅是威脅情報(bào)
責(zé)編:gltian |2022-08-01 14:58:54如今的組織正在努力抵御各式各樣的網(wǎng)絡(luò)攻擊,對(duì)于他們來(lái)說(shuō),數(shù)據(jù)有利亦有弊。企業(yè)依賴從外部環(huán)境中獲取的數(shù)據(jù),例如網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的警報(bào)、供應(yīng)商提供的數(shù)據(jù)以及威脅情報(bào)feed。然而,如果無(wú)法正確地使用這些信息,那么該信息也會(huì)反過(guò)來(lái)成為致命的威脅。同時(shí),企業(yè)還時(shí)常會(huì)忽略位于其內(nèi)部環(huán)境中的重要數(shù)據(jù)。
要想有效地利用威脅情報(bào),企業(yè)首先需要了解其環(huán)境中發(fā)生的事情,以及員工是如何使用網(wǎng)絡(luò)資源的。結(jié)合具體的情況,企業(yè)可以通過(guò)明確且獨(dú)特的方式來(lái)解釋、定制和利用威脅情報(bào)。此定制化的基線可以幫助識(shí)別環(huán)境中的異常及其造成的危害。倘若組織并不知道自己的內(nèi)部系統(tǒng)應(yīng)該做什么,那么世界上所有的外部威脅數(shù)據(jù)都對(duì)該企業(yè)都沒(méi)有用處。
一般來(lái)說(shuō),企業(yè)對(duì)于安全問(wèn)題的解決都過(guò)于依賴于安全產(chǎn)品。如今的安全團(tuán)隊(duì)不是安全工作的從業(yè)者,反倒是成了安全警報(bào)的消費(fèi)者。安全專業(yè)人員的工作不應(yīng)該只是盯著具有強(qiáng)大功能的工具,而是要看到幕后的東西。
例如,殺毒軟件和端點(diǎn)檢測(cè)與響應(yīng)(EDR)工具可幫助安全團(tuán)隊(duì)降低日志噪音,密切關(guān)注端點(diǎn)并識(shí)別已知威脅,但它們無(wú)法識(shí)別環(huán)境中所有的威脅。僅依靠傳統(tǒng)工具實(shí)際上是失敗的證明。經(jīng)驗(yàn)豐富的攻擊者可以對(duì)組織用來(lái)保護(hù)系統(tǒng)的工具進(jìn)行反求工程。他們知道這些工具是如何工作的,以及其功能和缺點(diǎn)。為什么攻擊者比安全團(tuán)隊(duì)更了解其組織的系統(tǒng)呢?
使用這些提示將威脅情報(bào)轉(zhuǎn)化為安全知識(shí):
1、使用多個(gè)數(shù)據(jù)源。無(wú)論如何,利用威脅情報(bào)feed和CISA的警報(bào),但同時(shí)也要了解它們的局限性。威脅情報(bào) feed限制了信息的類型(策略、技術(shù)、IP地址、域名或者文件散列),并且企業(yè)收到的警報(bào)往往都是幾個(gè)月前的內(nèi)容。新信息不僅要適用于如今的系統(tǒng)方式,也要對(duì)過(guò)去的方式同樣適用。如果可以跨越時(shí)間地對(duì)洞察力進(jìn)行查看,組織就可以在持續(xù)的安全完整性中實(shí)現(xiàn)更高水平的安全意識(shí)和信心。
2、使數(shù)據(jù)可操作。安全專業(yè)人員通常不認(rèn)為威脅情報(bào)有價(jià)值,因?yàn)樗ǔH狈唧w環(huán)境。如果組織不明白為什么地址被認(rèn)為是錯(cuò)誤的,或者地址是什么時(shí)候被識(shí)別為錯(cuò)誤的,那么IP地址列表就只是一堆數(shù)據(jù)而已。組織通常會(huì)訂閱十多個(gè)威脅信息推送來(lái)源,這意味著他們每天可能會(huì)獲得數(shù)百萬(wàn)條信息。而這些信息中的大多數(shù)都與組織的業(yè)務(wù)無(wú)關(guān),并且可能會(huì)產(chǎn)生誤報(bào)。這會(huì)使成本翻倍。首先是在企業(yè)的安全裝備中使用此信息的成本。想象一下,試圖匹配來(lái)自EDR,網(wǎng)絡(luò)檢測(cè)與響應(yīng)以及入侵檢測(cè)系統(tǒng)的日志卷中的數(shù)百萬(wàn)條被攻擊指標(biāo)。同時(shí)還包括處理誤報(bào)以及非重要信息的相關(guān)費(fèi)用。
最好的解決方案就是將那些從第三方獲得的威脅情報(bào)視為分析的跳板,而不是最終的分析結(jié)果。例如,威脅情報(bào)中表明含有特定MD5哈希的文件是惡意的。盡管組織中可能并沒(méi)有此種類型的文件,但有可能是因?yàn)樗鼈円呀?jīng)發(fā)生了變異。了解環(huán)境中存在的相似性和聯(lián)系,以及它們與威脅數(shù)據(jù)的差距。要成為真正安全從業(yè)者,情報(bào)feed正是下一個(gè)進(jìn)化步驟。
3、擁有安全知識(shí)心態(tài)。威脅情報(bào)并不是你擁有的東西,而是你做的事情。不要盲目地去購(gòu)買安全產(chǎn)品。要了解其工作原理以及局限性。要問(wèn)自己這個(gè)問(wèn)題:“攻擊者為什么要避開它?”安全消費(fèi)者永遠(yuǎn)不會(huì)問(wèn)這樣的問(wèn)題,而安全從業(yè)者則會(huì)涉及團(tuán)隊(duì)和職能。它們打破了團(tuán)隊(duì)導(dǎo)向的思維方式,促進(jìn)了知識(shí)的共享。那些被事件響應(yīng)者歸因于“異常活動(dòng)”的內(nèi)容可能會(huì)揭示出積極的威脅研究案例。
安全運(yùn)營(yíng)中心(SOC),事件響應(yīng)和研究團(tuán)隊(duì)周圍的功能墻干擾了有效的通信和信息共享。這三者使用不同的工具,應(yīng)該實(shí)時(shí)相互提供信息。例如,SOC使用SIEM,IR使用取證工具,而威脅 情報(bào)用戶使用威脅情報(bào)平臺(tái)。高管們需要使一個(gè)運(yùn)營(yíng)結(jié)構(gòu)正式化,以打破筒倉(cāng),并減少那些阻礙團(tuán)隊(duì)之間共享安全知識(shí)的工具碎片。
威脅情報(bào)是一個(gè)好東西,但如果企業(yè)被局限在筒倉(cāng)中,那么它的有效性就會(huì)降低。若企業(yè)可以打破筒倉(cāng)并對(duì)具體的環(huán)境進(jìn)行分析,那么就可以將情報(bào)轉(zhuǎn)化為符合企業(yè)特征的可操作安全知識(shí)。為了實(shí)現(xiàn)這一目標(biāo),CEO和董事會(huì)需要對(duì)安全從業(yè)者的價(jià)值進(jìn)行自上而下的審視。
企業(yè)對(duì)于網(wǎng)絡(luò)攻擊的抵御實(shí)際上是安全專業(yè)人員依據(jù)外部獲取的威脅情報(bào),并結(jié)合自身所擁有的安全知識(shí)經(jīng)驗(yàn),來(lái)作出的對(duì)于威脅事件響應(yīng)的決策。無(wú)論是不同來(lái)源的安全數(shù)據(jù)還是各種功能的安全工具,對(duì)于安全工作來(lái)講都算是一種輔助,而其價(jià)值能否得以有效發(fā)揮,最終皆取決于安全人員實(shí)際所擁有的安全知識(shí)與威脅治理能力。同時(shí),外部獲取的安全數(shù)據(jù)通常是以靜態(tài)的方式存在,只有結(jié)合具體的環(huán)境分析,將其與實(shí)際情況聯(lián)系起來(lái),才能夠激活該靜態(tài)數(shù)據(jù)。而激活后所形成的威脅知識(shí)才真正具有實(shí)際的利用價(jià)值。
來(lái)源:數(shù)世咨詢
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧