威胁情报:没有好车手 布加迪威龙也白搭
作者:星期一, 二月 15, 20160

从扩展产品线的厂商,到投资初创公司的风投资本,再到想探求新型高级网络攻击信息的终端用户,威胁情报收获了业界大量关注。然而,威胁情报的本质只是另一种数据源,它增加了必须进行人工分析的复杂性,促进了响应速度。

640.webp

层出不穷的数据泄露事件充分说明,当网络攻击的策略、能力和行动都未知时,要发现并鉴别出这些威胁指征是一件多么困难的事情!

为了解决网络风险评估中遗留的管理漏洞,越来越多的公司转向利用威胁情报来增强他们的安全检测和响应能力。由于威胁其实就是利用漏洞的可能性,这一关系必然要在风险评估过程中被当做关键因素看待,不能再像以前一样看成风险中可有可无的因素。

事实上,高级安全运营团队会利用威胁情报来收集关于攻击能力、当前行为和潜在威胁行为者(如:黑客、有组织犯罪团伙、国家支持的攻击者等)的攻击计划等信息,再根据这些信息来预测当前和未来的攻击。情报来源从政府机构到工业信息共享论坛,再到提供IT安全威胁、漏洞、事件和其他安全相关信息的商业威胁情报服务等等,不一而足。

Gartner预测:到2020年,全球25%的企业都将为“网络战”提供服务,其中就包括威胁情报服务。

不过,公司企业必须认识到,订阅这些服务仅仅是增加了从安全数据中提取和处理可行性信息的挑战。独立的威胁情报服务,只是一个不能与其他系统结合的安全工具,仅仅扩展了反馈数据的体积、速度和复杂度,反馈来的数据还有待人来分析、规范化和优先化。

然而,不幸的是,今天的网络防御战中,对数据的分析处理才是最大的挑战。传统安全工具需要大量员工梳理海量数据才能联结起各个节点,大海捞针式地捞取威胁情报。网络安全界残酷的现实,正在于太缺乏能够处理此类任务的专业人士了。

国际信息系统审计协会(ISACA)的统计表明:全球空缺的安全职位高达100多万个。因此,平均需要8个月,才能在受害者网络中检测出高级威胁,也就不足为奇了。即使是能够用得起资深安全分析师的大公司,积累分布式数据也可能需要数月时间,这段时间足够攻击者利用漏洞攫取公司数据了。

最后,威胁情报如果没放到公司的安全态势环境中,那是一点作用也不会起的。大多数公司,其实都不具备应用所需逻辑将外部威胁数据与内部安全情报关联起来的资源。这就导致了威胁情报反馈的浪费,或者需要昂贵的外部顾问来进行威胁情报分析。

不过,幸运的是,采取主动方法进行网络风险管理的新技术正在兴起,不仅可以聚合多个威胁情报源,更重要的是可以将外部和内部安全数据与公司业务风险关联起来。这样一来,在不需要昂贵的外部顾问服务情况下,增加运营效率,缩短灾难恢复时间也就成为了可能。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章