威脅情報(bào)不起作用的5個(gè)主要原因
2018年11月22日
網(wǎng)絡(luò)安全人員網(wǎng)絡(luò)難以獲得威脅情報(bào)的益處。幸運(yùn)的是��,克服這些難題的方法并非不存在�����。
進(jìn)攻就是最好的防御�。想要獲得最佳防御��,我們必須采取主動(dòng)�����。只要感知到,必然有所準(zhǔn)備���。無(wú)論你的網(wǎng)絡(luò)安全團(tuán)隊(duì)信奉哪種策略�����,對(duì)抗網(wǎng)絡(luò)犯罪都需要偵聽(tīng)對(duì)手的動(dòng)靜以預(yù)測(cè)威脅��。
這就是威脅情報(bào)存在的意義�����,難道不是嗎?在被黑客惡意利用之前識(shí)別并修復(fù)企業(yè)IT基礎(chǔ)設(shè)施中的弱點(diǎn)����。至少理論上是這么說(shuō)的沒(méi)錯(cuò)吧?而且很多公司企業(yè)也確實(shí)在買入各種威脅情報(bào)����,威脅情報(bào)服務(wù)全球總支出從2014年的9.055億美元上升到2018年預(yù)期將超過(guò)的14億美元就是明證����。
問(wèn)題在于,CSO和網(wǎng)絡(luò)安全人員常常難以抽取威脅情報(bào)的好處。我們不妨分析一下其中的原因��,找出解決問(wèn)題的辦法���。
1. 與特定網(wǎng)絡(luò)安全需求不相匹配
網(wǎng)絡(luò)安全團(tuán)隊(duì)有時(shí)候會(huì)將威脅情報(bào)視為能抵御黑客和騙子的快速解決方案���。但這一期待實(shí)在是有些過(guò)高了。事實(shí)是����,世上根本沒(méi)有一招通吃的萬(wàn)能威脅情報(bào)。
相反���,威脅情報(bào)解決方案應(yīng)根據(jù)每家企業(yè)�����、附屬公司�,甚至各個(gè)部門自身的特定安全需求來(lái)實(shí)現(xiàn)���,否則最后拿到的就只是一堆毫不相關(guān)的堆砌數(shù)據(jù)�,只會(huì)給公司一種虛幻的安全感��。
比如說(shuō),金融服務(wù)公司可能就只想密切注意旨在欺騙目標(biāo)人物交出信用卡和銀行賬號(hào)的假冒網(wǎng)站和惡意聯(lián)系表單��。
同時(shí)�,技術(shù)提供商關(guān)注的就是確保私有信息(比如商業(yè)秘密和研發(fā)進(jìn)度)不落入壞人手里,無(wú)論是通過(guò)電子郵件欺騙還是加密漏洞��,或者是惡意軟件����。
2. 沒(méi)資源來(lái)根據(jù)威脅情報(bào)采取行動(dòng)
即便拿到了威脅情報(bào),你打算怎么使用該信息來(lái)響應(yīng)即將到來(lái)的威脅呢?現(xiàn)實(shí)是�����,多重原因作用下����,44%的日常安全警報(bào)從未被調(diào)查,威脅情報(bào)數(shù)據(jù)也從未被利用����。
有可能是公司里沒(méi)人知道怎么翻譯自己看到的情報(bào)�,就更別提根據(jù)情報(bào)采取行動(dòng)了?;蛘呤枪绢I(lǐng)導(dǎo)層就不重視這方面,也缺乏筑起防御所需響應(yīng)的預(yù)算。
無(wú)論如何���,只知道有問(wèn)題�����,但不理解安全漏洞到底在哪兒��,或者沒(méi)有解決問(wèn)題的途徑����,是無(wú)法減少網(wǎng)絡(luò)攻擊的普遍性或烈度的��。
想要彌補(bǔ)這一缺口����,最好獲得來(lái)自高管層的支持,分配資源對(duì)相關(guān)員工進(jìn)行威脅情報(bào)工作實(shí)操和漏洞處理切實(shí)步驟的培訓(xùn)��。
3. 將威脅情報(bào)等同于其他網(wǎng)絡(luò)安全工作
威脅情報(bào)與其他網(wǎng)絡(luò)安全工作之間有著不可否認(rèn)的聯(lián)系���。威脅情報(bào)是為安全意識(shí)培訓(xùn)�����、服務(wù)器錯(cuò)誤配置發(fā)現(xiàn)��、新興惡意軟件認(rèn)知等安全工作提供指導(dǎo)的���。
遵照這個(gè)思路����,很容易就會(huì)假定任何安全人員都具備處理威脅情報(bào)的素質(zhì)�。然而,威脅情報(bào)與其他安全工作之間存在方向和方法論上的巨大差異����。
首先,威脅情報(bào)是具備大局觀的分析師的工作����,要為主動(dòng)威脅預(yù)防和攔截建立網(wǎng)絡(luò)安全路線圖。這與事件響應(yīng)專家在事件發(fā)生時(shí)逐一加以緩解的角色大為不同�����。
有必要承認(rèn)這種差異性����,在網(wǎng)絡(luò)安全團(tuán)隊(duì)中重新分配職責(zé),設(shè)立專門的人監(jiān)視現(xiàn)有和新近納入的在線資產(chǎn)上的新興威脅����。
4. 沒(méi)能集成威脅情報(bào)
你怎么確定網(wǎng)絡(luò)安全人員使用了威脅情報(bào)洞見(jiàn)?產(chǎn)品引進(jìn)的最快途徑就是將創(chuàng)新鏈接進(jìn)用戶已經(jīng)接受了的事物中,威脅情報(bào)也不例外��。
事實(shí)上����,很有必要將威脅情報(bào)及其數(shù)據(jù)饋送連接上已經(jīng)部署了的常見(jiàn)軟件,比如安全信息與事件管理(SIEM)應(yīng)用��。這么做可以加速威脅情報(bào)實(shí)現(xiàn)��,讓威脅洞見(jiàn)作為整體網(wǎng)絡(luò)安全項(xiàng)目的一部分更容易被獲取到����。
缺乏集成不僅會(huì)削弱威脅情報(bào)的效用,還會(huì)增加網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作量��,讓他們陷入手工收集和比較數(shù)據(jù)以評(píng)估基礎(chǔ)設(shè)施健康度的無(wú)盡麻煩中����。
5. 忽視威脅情報(bào)術(shù)語(yǔ)
取決于你的交談對(duì)象,威脅情報(bào)意味著不同的東西���,其相應(yīng)的語(yǔ)言也區(qū)別很大����。如果忽略了這一點(diǎn),公司各類利益相關(guān)者很快就會(huì)搞不清楚狀況����,不理解你在說(shuō)什么。
高級(jí)經(jīng)理談?wù)撏{情報(bào)的時(shí)候����,重點(diǎn)可能在于高層決策。比如���,這個(gè)財(cái)年的安全預(yù)算花在哪兒?哪家技術(shù)供應(yīng)商因?yàn)闆](méi)遵守公司安全策略而需要被踢出去?
但如果是網(wǎng)絡(luò)安全分析師湊一堆����,談話就完全是技術(shù)型的了��。比如����,我們的SSL證書(shū)到期沒(méi)?我們要不要連接那個(gè)惡意軟件數(shù)據(jù)庫(kù)探查勒索軟件攻擊?員工日常訪問(wèn)的前100家網(wǎng)站都是啥?
通過(guò)內(nèi)部溝通與宣傳活動(dòng),我們有必要確保相關(guān)各方意識(shí)到看待威脅情報(bào)的不同角度?��?傮w上���,威脅情報(bào)視角可分為兩個(gè)層面��,一個(gè)考慮并購(gòu)與長(zhǎng)期合作伙伴關(guān)系之類戰(zhàn)略性事務(wù)����,另一個(gè)注重操作層面的問(wèn)題,比如網(wǎng)站�����、服務(wù)器和應(yīng)用的強(qiáng)化��、修復(fù)及配置���。
與其他新操作一樣����,威脅情報(bào)自帶吸引CSO及其安全團(tuán)隊(duì)的各種美好前景����。但上文中討論的幾種誤解���,會(huì)持續(xù)阻礙威脅情報(bào)的全面部署和打擊網(wǎng)絡(luò)犯罪的潛力發(fā)揮。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”�、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案����,業(yè)務(wù)涵蓋咨詢、評(píng)估����、規(guī)劃、管控����、建設(shè)���、培訓(xùn)等���。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
