【网络安全新趋势】利用“威胁情报”改善企业对网络攻击的防御
语
READ
对网络威胁情报的持续收集、分析和优化, 可以帮助企业改进网络安全措施。
网络安全管理人员面临许多挑战, 企业领导层也会要求加强对网络风险的认识,加快复杂数据的处理, 以及为越来越多的智能设备提供高效的管理服务。如果安全小组采取适当的预防措施, 就能更好地保护他们的组织免遭攻击。工作人员需要得到威胁情报的配合以更好实现防护效果。
威胁情报不仅仅服务于大型、资金充足的组织。现在, 它必须成为在不断变化的技术环境中运行的所有企业的缓解战略的整体组成部分。小型企业可以访问可信的威胁情报来源,这些信息源可以基于组织的配置和供应链。过去存储于安全数据中心的关键数据,现在则分布在跨网络环境下日益复杂的生态系统, 其中包括工业物联网 (IIoT)、物联网(IoT)、云服务器、虚拟环境和移动设备。
网络安全与威胁情报
某些企业环境的变化速度如此之快, 许多组织都在努力与不断发展变化的网络攻击保持同步, 或者有能力根据不断出现的攻击进行调整。为了建立有效的网络安全策略, 企业需要了解特定的网络攻击, 并了解这些攻击对组织的影响。
威胁情报提供了背景、指示、增强的认识,以及针对当前不断涌现攻击的可执行的响应。这将在在操作、战术或战略层面上协助制定决策。网络对手使用更复杂的工具、技术和程序来规避独立的安全计划。企业需要一个循证的、全面的攻击环境视图, 并采取主动的安全措施, 以保护重要资产免遭一系列潜在攻击。
威胁情报服务背后的目标是为企业提供了解、识别、对攻击指标采取行动的能力, 以更好地抵御零日攻击、高级持久攻击。世界各地的安全团队都面临着发现、分析和解释大量日常事件来发现攻击的挑战。安全组织正致力于自动检测、情景化、优先化、执行分析、自动化法规遵从性以及对事件的响应,这已经超出了安全信息管理到安全威胁情报的范畴了。设施所有者应确定它们希望从威胁情报中得到的信息,包括:
◆ 所需警报类型;
◆ 供应商信息;
◆ 如何收集、报告相关信息并将其通知给利益相关者;
◆ 分析过程;
◆ 如何使用威胁情报。
威胁情报提要
通过对企业的过程、基础设施、需求、管理威胁情报和安全态势的能力进行内部评估,来确定组织的需求分析。客户应比较数据提要和功能、警报和报告、订阅价格和供应商提供的支持。
对那些正在发展攻击信息收集能力的企业而言,网络威胁情报提要正在成为收集情报过程中的一个主要手段。这些提要所提供的主要好处是将信息整合成一个易于理解和消化的消息源。攻击信息源的实时性至关重要, 尤其是与安全信息和事件管理 (SIEM) 系统平台集成以允许对其它提要项进行自动比较。
大多数企业在其安全平台上缺乏资源和成熟度, 无法充分利用网络威胁情报源, 它应评估针对内部漏洞的攻击信息, 以便更好地优先考虑安全控制。
一个威胁情报平台应该为企业提供防御。将攻击信息功能与组织的软件、硬件和防御策略结合起来, 可以增强员工搜索高级攻击、配置非典型恶意软件和检测潜在对手的能力。典型的内部威胁情报小组部署和结构化的方式成本高昂, 并与组织的安全策略不符。
客户应与供应商合作, 改进订阅产品、选定产品、集成的技术指标提要、特定事件摘要报告和新出现的网络攻击、各个业务部门的趋势, 并确保它与集成过程和业务需求的长期愿景相一致。
“ 对那些正在发展攻击信息收集能力的企业而言,网络威胁情报提要正成为收集情报过程中的一个主要手段。”
缺乏网络安全专家和工具
该行业仍须解决一些日趋严重的问题,例如技术安全专家的缺乏、相互隔离的安全产品、缺乏与其它设备和管理工具的集成、缺乏资金以及攻击数据的相关性不足等问题。企业必须注意实施程序, 以避免典型的失败, 如未将攻击信息集成到企业平台, 消费但不共享数据,手动过程将成为负担, 没有实时数据提供安全意识, 缺乏情境信息等。
在全球环境中,网络攻击发生在机器层面,客户必须确保尽可能通过自动化方式实现网络威胁情报的识别、共享、理解和应用。自动化的平台可以更方便地访问情报信息, 并能将攻击情境化,确定其优先级, 以便立即实施缓解策略。有效的情报信息评估来自不同来源和类型的情报, 为组织提供更好的攻击和风险概貌。
网络安全的新趋势
对最终客户有价值的,不是各种情报的数量, 而是这些情报对整个环境的适用性。自定义仪表板和过滤器以持续描述攻击的能力,使安全小组能够关注影响组织的攻击。网络威胁情报市场提供了不同类型的信息, 它们不一定与任何行业或大型制造商的基础设施相一致。虽然必须将情报信息平台视为网络安全的关键组成部分, 但企业必须定义其高层次需求、功能需求和可见性需求。
通过收集持续的威胁情报、分析和优化,企业可以增加其保护措施, 加强其安全工具。在以下领域,企业对网络安全重要性的认识有一些新的新趋势:
◆ 过去5 年来,对攻击的认识从25% 上升到75%。企业已经意识到, 网络攻击者比他们自己更了解他们的网络, 面对网络攻击现在变得更加主动。
◆ 在过去两年中, 有正式的内部/ 外源小组来处理威胁情报的企业,从25% 增加到45%。
由于数据科学和机器学习模式正在提供全新的观察攻击的方法, 该行业也在取得进展;这有助于避免依赖以前所经历的攻击来提供安全的效果。数据科学和机器学习模型,可以根据对以前所有内部和外部攻击的集体知识来评估流量, 以确定可能成为攻击的差异。最近的研究, 包括来自 Statista 和 IDC 的报告表明, 预计到2018 年底全球外部网络威胁情报服务支出将增加16 亿美元。
关键概念
■ 网络威胁情报源的重要性;
■ 针对网络攻击实施成功的缓解策略。
思考一下
如何利用威胁情报,改善企业对网络攻击的防御?
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2018年10月刊《技术文章》栏目,原标题为:善用网络威胁情报改进企业网络安全措施。
本期杂志封面
想要免费阅读每期杂志内容,请查阅《控制工程中文版》微信订阅号自定义菜单。