威脅情報不起作用的5個主要原因
2018年11月22日
網(wǎng)絡(luò)安全人員網(wǎng)絡(luò)難以獲得威脅情報的益處。幸運的是��,克服這些難題的方法并非不存在�。
進攻就是最好的防御。想要獲得最佳防御���,我們必須采取主動����。只要感知到����,必然有所準(zhǔn)備。無論你的網(wǎng)絡(luò)安全團隊信奉哪種策略���,對抗網(wǎng)絡(luò)犯罪都需要偵聽對手的動靜以預(yù)測威脅���。
這就是威脅情報存在的意義���,難道不是嗎?在被黑客惡意利用之前識別并修復(fù)企業(yè)IT基礎(chǔ)設(shè)施中的弱點。至少理論上是這么說的沒錯吧?而且很多公司企業(yè)也確實在買入各種威脅情報��,威脅情報服務(wù)全球總支出從2014年的9.055億美元上升到2018年預(yù)期將超過的14億美元就是明證�。
問題在于�,CSO和網(wǎng)絡(luò)安全人員常常難以抽取威脅情報的好處。我們不妨分析一下其中的原因�,找出解決問題的辦法。
1. 與特定網(wǎng)絡(luò)安全需求不相匹配
網(wǎng)絡(luò)安全團隊有時候會將威脅情報視為能抵御黑客和騙子的快速解決方案�����。但這一期待實在是有些過高了����。事實是,世上根本沒有一招通吃的萬能威脅情報����。
相反,威脅情報解決方案應(yīng)根據(jù)每家企業(yè)��、附屬公司,甚至各個部門自身的特定安全需求來實現(xiàn)�,否則最后拿到的就只是一堆毫不相關(guān)的堆砌數(shù)據(jù),只會給公司一種虛幻的安全感�����。
比如說�����,金融服務(wù)公司可能就只想密切注意旨在欺騙目標(biāo)人物交出信用卡和銀行賬號的假冒網(wǎng)站和惡意聯(lián)系表單�。
同時,技術(shù)提供商關(guān)注的就是確保私有信息(比如商業(yè)秘密和研發(fā)進度)不落入壞人手里��,無論是通過電子郵件欺騙還是加密漏洞����,或者是惡意軟件。
2. 沒資源來根據(jù)威脅情報采取行動
即便拿到了威脅情報�����,你打算怎么使用該信息來響應(yīng)即將到來的威脅呢?現(xiàn)實是�,多重原因作用下,44%的日常安全警報從未被調(diào)查��,威脅情報數(shù)據(jù)也從未被利用。
有可能是公司里沒人知道怎么翻譯自己看到的情報���,就更別提根據(jù)情報采取行動了���。或者是公司領(lǐng)導(dǎo)層就不重視這方面���,也缺乏筑起防御所需響應(yīng)的預(yù)算�。
無論如何�,只知道有問題�,但不理解安全漏洞到底在哪兒,或者沒有解決問題的途徑�,是無法減少網(wǎng)絡(luò)攻擊的普遍性或烈度的。
想要彌補這一缺口�����,最好獲得來自高管層的支持��,分配資源對相關(guān)員工進行威脅情報工作實操和漏洞處理切實步驟的培訓(xùn)��。
3. 將威脅情報等同于其他網(wǎng)絡(luò)安全工作
威脅情報與其他網(wǎng)絡(luò)安全工作之間有著不可否認的聯(lián)系��。威脅情報是為安全意識培訓(xùn)、服務(wù)器錯誤配置發(fā)現(xiàn)��、新興惡意軟件認知等安全工作提供指導(dǎo)的����。
遵照這個思路,很容易就會假定任何安全人員都具備處理威脅情報的素質(zhì)����。然而,威脅情報與其他安全工作之間存在方向和方法論上的巨大差異�。
首先,威脅情報是具備大局觀的分析師的工作��,要為主動威脅預(yù)防和攔截建立網(wǎng)絡(luò)安全路線圖���。這與事件響應(yīng)專家在事件發(fā)生時逐一加以緩解的角色大為不同���。
有必要承認這種差異性,在網(wǎng)絡(luò)安全團隊中重新分配職責(zé)����,設(shè)立專門的人監(jiān)視現(xiàn)有和新近納入的在線資產(chǎn)上的新興威脅。
4. 沒能集成威脅情報
你怎么確定網(wǎng)絡(luò)安全人員使用了威脅情報洞見?產(chǎn)品引進的最快途徑就是將創(chuàng)新鏈接進用戶已經(jīng)接受了的事物中�����,威脅情報也不例外。
事實上����,很有必要將威脅情報及其數(shù)據(jù)饋送連接上已經(jīng)部署了的常見軟件,比如安全信息與事件管理(SIEM)應(yīng)用��。這么做可以加速威脅情報實現(xiàn)�����,讓威脅洞見作為整體網(wǎng)絡(luò)安全項目的一部分更容易被獲取到���。
缺乏集成不僅會削弱威脅情報的效用�,還會增加網(wǎng)絡(luò)安全團隊的工作量�����,讓他們陷入手工收集和比較數(shù)據(jù)以評估基礎(chǔ)設(shè)施健康度的無盡麻煩中�����。
5. 忽視威脅情報術(shù)語
取決于你的交談對象�,威脅情報意味著不同的東西,其相應(yīng)的語言也區(qū)別很大����。如果忽略了這一點,公司各類利益相關(guān)者很快就會搞不清楚狀況�,不理解你在說什么。
高級經(jīng)理談?wù)撏{情報的時候����,重點可能在于高層決策。比如����,這個財年的安全預(yù)算花在哪兒?哪家技術(shù)供應(yīng)商因為沒遵守公司安全策略而需要被踢出去?
但如果是網(wǎng)絡(luò)安全分析師湊一堆,談話就完全是技術(shù)型的了����。比如,我們的SSL證書到期沒?我們要不要連接那個惡意軟件數(shù)據(jù)庫探查勒索軟件攻擊?員工日常訪問的前100家網(wǎng)站都是啥?
通過內(nèi)部溝通與宣傳活動�����,我們有必要確保相關(guān)各方意識到看待威脅情報的不同角度����??傮w上����,威脅情報視角可分為兩個層面,一個考慮并購與長期合作伙伴關(guān)系之類戰(zhàn)略性事務(wù)��,另一個注重操作層面的問題����,比如網(wǎng)站、服務(wù)器和應(yīng)用的強化�、修復(fù)及配置。
與其他新操作一樣�,威脅情報自帶吸引CSO及其安全團隊的各種美好前景。但上文中討論的幾種誤解����,會持續(xù)阻礙威脅情報的全面部署和打擊網(wǎng)絡(luò)犯罪的潛力發(fā)揮。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運維平臺建設(shè)����、動漫設(shè)計、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面��、可信的方案�,業(yè)務(wù)涵蓋咨詢、評估����、規(guī)劃、管控�����、建設(shè)�、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
