威胁情报:知识就是力量
作者: 日期:2015年06月01日 阅:2,503

图

多年来,机构和企业已经在各种各样的安全解决方案上投资巨大。因此弄清楚已经在安全技术上做了哪些投资是十分重要的,这样才能看清这些安全技术所带来的益处以及可能面临的挑战。
最初的重点应该是在防火墙和入侵检测系统(IDS)上进行投入来保证外围安全,另外还要通过投资反病毒解决方案保证终端安全,保护用户群。

防火墙和IDS的问题在于它们需要持续的更新和大量的人工干预,而且对未知或零日攻击视而不见。反病毒解决方案和定期扫描的问题在于它们通常漏报那些隐藏属性的恶意软件威胁。尽管这些技术依然是公司安全套装中不可或缺的部分,它们的焦点却往往放在已知攻击上而对新型或未知攻击毫无办法。

接下来是在安全信息和事件管理(SEM/SIM/SIEM)解决方案上的大量投资。这些解决方案中直到今天都依然存在的问题是:由于缺乏定义良好的流程和训练有素的支持人员,用户根本没准备好大规模部署这些解决方案。大海捞针一直是SIEM解决方案的主要症结。而且,SIEM只在报告设备/系统的审计和日志级别表现良好。

这些系统同样需要人工干预才能保持更新,而且同样缺乏对可能影响SIEM价值的新兴威胁的可见性。公司企业现在认识到SIEM缺乏外围防御和反馈日志,也已经开始投资专注于事后处理的解决方案。

当关注焦点转移到事后处理上时,拥有取证能力就显得十分重要了,而且也必须清楚需要哪些额外的数据才能回答情况到底有多么糟糕这样的问题。客户现在会提的问题都是诸如“我是怎样被攻击的”、“什么时候被攻击的”、“现在攻击还在继续吗”,以及最重要的“谁攻击了我”之类的。

很多事后处理解决方案的重点都在高级持续性威胁上(APT)。这些解决方案关注高级有针对性的攻击和高级恶意软件。高级攻击可以规避传统基于签名的解决方案(上面提及的那些),因为这些解决方案需要人工干预(“人”的问题)才能保持最新状态,且只有当威胁是已知的时候才有效。

近些年客户开始实现的高级威胁解决方案例子之一,是网络取证完整数据包捕获(FPC)解决方案。过去几年中,实现此类解决方案的目的,是试图通过捕获进出网络的每个数据包并进行深度数据包分析来对抗高级持续性威胁。这些解决方案非常棒,但若要利用数据同时进行实时防护和取证分析,将会占用大量存储空间。

另外,FPC解决方案需要分析员深入了解他们的网络环境,建立已知安全事件的基准线,并且保证该基准线在新威胁出现时得到更新。分析员还需要能够识别那些可以提示他们出现了未知威胁、高级针对性攻击及其所用各种技术的攻击指示器。

另一个客户投资的高级威胁解决方案的例子是通常包含了沙盒/模拟技术的高级恶意软件检测解决方案。这些方案可以处理大量数据,一旦出现未知事物便发送到沙盒环境进行进一步分析。当然,这些解决方案也不是毫无弱点的,分析员必须等待分析结果出来才能采取行动。而且,模拟环境中发现的东西也不保证就能直接映射到生产环境中。此外,支持这些解决方案的威胁情报严重依赖于从厂商的安装基数中收集到的样本量。

成功的技术部署应该围绕人、流程和技术之间的平衡。很多案例中,客户多年来面对的问题都是围绕人和流程的。

在过去,企业一直致力于拥有足够的人手和合适的流程来确保数据泄露发生时的平均补救时间尽可能短。很多这类安全解决方案都需要专职资源来保养和维护每一个解决方案。考虑到不断变化的威胁情况和实施事后取证的需要,公司往往必须持续对其安全团队的培训进行投入。

培训安全团队的另一种方式是通过加入威胁情报来增强威胁识别率。在真正造成侵害之前收到潜在威胁的早期迹象是保持安全团队提高警醒度的另一种方法。自动化实时威胁情报可以帮助缩短识别潜在威胁的时间,还有可能最小化安全事件的发生频率。

考虑到迄今为止客户在安全解决方案上的投入,在方案组合中加入威胁情报是合乎逻辑的下一步计划。实时威胁情报能为安全团队提供潜在威胁的关键信息,还能提供安全团队需要优先关注的某些更有针对性攻击背后的深入分析和动机解析。

部署一个解决方案就可以坐等威胁警报再开始事件响应的日子已经一去不复返。公司企业需要采取积极主动的方式进行事件响应。

通过在已有流程中添加威胁情报可以改善监控效果,一旦威胁情报数据源确认可信,那些数据便可用于实施积极内联阻塞以在损害发生之前就捕获潜在威胁。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章