威脅捕捉:戰略性IT安全的基礎
責編:gltian |2018-12-06 13:23:42美國海豹突擊隊有一句名言:“只有過去的日子才是輕松的日子。”
看看當前的網絡安全態勢,不難想象,在未來的安全工作面前,過去所謂的挑戰根本就是風平浪靜了。所有證據都顯示,網絡攻擊的頻度、復雜性和烈度呈指數級上升。不過,雖然必須承認網絡罪犯難以對付,我們卻可以開始在威脅捕捉的基礎上構建主動式防御策略。
安全公司 Carbon Black 最新一期的《英國威脅報告》發現,92%的英國公司企業在過去1年里遭遇過數據泄露,其中44%被滲漏多次。82%的公司報告稱數據泄露事件數量上升,其中25%表示攻擊數量增幅在51%到200%之間。91%的受訪公司企業認為攻擊變得更加復雜。而另一項調查中,64%的事件響應人員見過二級命令與控制嘗試,46%發現了反事件響應的證據。
這些數字表明,網絡罪犯一直在進化,變得越來越狡猾和持久,所求也不再僅僅是突破防線即可。他們想要謀求長期利益,在公司網絡中建立立足點,橫向擴展,跳轉到公司合作伙伴的網絡中,并按他們自己的步調發起后續攻擊。波耐蒙研究所對數據泄露損失的調查發現,入侵者平均可以在公司網絡中駐留191天才被檢測出來。
威脅捕捉:不僅僅是打地鼠
雖然難以接受,但網絡罪犯已經存在于公司網絡中的事實也給了安全人員不再滿足于在網絡邊界上打地鼠式“執勤”的機會。既然敵人已經侵入,我們的眼光就要放長遠,將重心轉移一部分到追捕威脅上,預測潛在攻擊途徑,讓我們的網絡成為不那么容易待著不走的環境。
接受問卷調查的英國安全人員中,2/3的人表示過去一年中執行了威脅捕捉,其中91%以上的受訪者證實威脅捕捉強化了他們的防御。很明顯,威脅捕捉已經成為公司企業行之有效的網絡安全防御戰術。
有效威脅捕捉的組成部分
逆轉形勢,開始主動追捕威脅,需要與單純的網絡防御有所不同的思維和技術集,要求我們不僅僅是站在高高的瞭望臺上俯視,而是深入暗影之中,追索惡意行為,運用所能收集到的各種鑒證情報理解對手的動機和戰術,預測攻擊可能發起的地方。
對英國及歐洲安全運營人員的調查顯示,某些人確實是網絡安全領域的天才,天生具備威脅獵手的素質。但鑒于全球網絡安全人才緊缺的狀況,僅靠少數天才顯然是不夠的(據預計,到2022年,歐洲網絡安全人才缺口可能達35萬人),讓現有團隊掌握威脅捕捉技術才是正道。只要有合適的工具,清晰明了的目標和一定的自由度,公司企業沒有理由無法調動其整個安全團隊進行有效威脅捕捉。
事實上,在整個公司范圍內植入威脅捕捉的文化比指派個別人擔負這項工作更重要。各自為戰不能形成有效防御,只有共享情報,發現攻擊模式,才能令公司成為網絡罪犯難以攻克的堡壘。這一思想也適用于整個行業,而不僅僅局限于公司內部。網絡罪犯之間的情報、工具、戰術和流程共享就很棒,反觀業界,競爭的存在令共享舉步維艱。
數字游戲:安全開支不足網絡罪犯研發投入的1/10
調查中,英國公司企業表示,安全預算的增長少得可憐——2/3的公司預計會增長10%-30%。面對不斷升級的威脅態勢,這點增長完全不夠。雖然在預算方面哪家公司企業都很摳門,但也得認清形勢,看看對手是怎么做的。
這里所指的對手就是網絡罪犯,他們可是在用盡一切手段開發新的攻擊方法。網絡罪犯每年投入新手段研發的費用可能有上萬億美元,而全球安全支出也就960億美元——安全開支不足網絡罪犯研發投入的1/10。這是一場完全不對等的戰爭,所以安全事件的數量和烈度上升也就不足為奇了。假定我們的安全預算不會激增至萬億美元級別,那就得確保花在網絡安全上的每一分錢都帶來切實的投資回報。
投資威脅捕捉是通往戰略性IT安全的有效途徑。這顯示出你的公司在減少網絡罪犯駐留時間和控制其跳轉到合作伙伴公司方面是認真的。威脅捕捉能強化防御,堵住攻擊途徑,所以,即便預算有限,也應該將打造威脅捕捉能力提上日程。明天未必會比今天容易,但如果今天就開始威脅捕捉,起碼我們是走在正確的方向上。
Carbon Black 《英國威脅報告》:
https://www.carbonblack.com/uk-threat-report-2018/