在本文中,专家Kevin Beaver将探讨企业如何学习Facebook的ThreatData框架安全分析来加强企业防御。
自成立以来,Facebook一直是网络攻击的目标。他们积极抵御恶意软件和防止欺诈,并且他们在这方面的努力经常见诸报端。然而,可以很公平地说,Facebook面临的实际威胁更加严峻。
当面对威胁时,知识就是力量。很多企业都认识到威胁分析和安全分析的重要性,它们不仅可以帮助阻止当前威胁,还可以提高事件响应。最近,Facebook宣布通过其ThreatData框架进军大数据安全分析领域。
在本文中,我们将讨论什么是ThreatData框架,它是如何工作的以及为什么企业应该知道它的存在,还有信息安全专业人员可以从中学到什么来更好地管理企业面临的威胁。
ThreatData框架内部
对于ThreatData,Facebook声称它能够快速收集、处理和分析大量数据,以及时对出现的威胁作出反应。
这个大数据安全分析框架包括三个主要部分:
• 数据收集:这是从Facebook内部和外部的各种来源收集的各种格式的数据(被称为ThreatDatum),这些来源包括VirusTotal、Web浏览器扩展和专门从事这种数据收集的安全供应商。
• 数据存储:这些是存储数据和提取威胁情报的库,被称为“Hive”或者“Scuba”。
• 实时响应:这是Facebook对威胁的响应,其中包括URL阻止和安全信息及事件管理(SIEM)集成。
从本质上讲,ThreatData对互联网正在发生的恶意活动提供了更全面和更大的可视性。这些发现和检测功能正是大多数企业的信息安全计划中缺乏的功能。与SIEM的优势类似,这种详细程度允许信息安全专业人员能够看到更大的视图,而不是更为典型的对产品或功能孤岛的安全管理。
ThreatData框架对一般企业意味着什么
那么,为什么这会有用呢,特别是对于与Facebook不怎么相关的企业?
ThreatData框架是创新框架类型的模型,高风险企业正在部署这种框架来解决已知和新出现的安全威胁,并且,这可能为一般企业提供很多经验教训。
虽然大多数企业没有Facebook那样的安全资源,但该框架的很多威胁情报“功能”并不需要大量资源,企业可以利用最新钓鱼网站上的信息、互联网中的恶意软件以及应对这些威胁的相关趋势。
另外,企业可以外包部分(如果不是全部)这些功能到很多第三方供应商(例如Dell SecureWorks和Alert Logic),包括对企图攻击、已知网络恶意软件感染以及需要注意的行为和签名发出警报,包括实时修复Web应用防火墙等技术。
在很多企业,特别是中小企业,负责安全的人员通常不知道在特定时间事物所处的位置。即使企业选择外包这些服务,他们通常没有足够的人力或者利基安全专业技术来及时合理地管理这些威胁,更不用说响应威胁。但是,企业仍然有机会来获得对企业环境的控制权。
企业防御的真相
虽然了解敌人很重要,但这并不够。很多企业忘记信息风险由威胁和漏洞组成。企业永远无法真正消除威胁,不过这没关系,毕竟,如果企业不存在涉及补丁、密码和保护不当信息的漏洞,这些威胁还何以构成风险呢?
每周我们都会看到有关“重要新威胁”的头条新闻以及关于“你现在必须抵御的威胁”的耸人听闻的故事。虽然这些消息很吓人,但大多这些问题并不需要对企业的安全做法做出重大改变。来自Verizon、Trustwave等的研究显示,攻击者通常会瞄准来自微软、甲骨文、Adobe和思科的最常见的更新产品中的基本的(和可修复的)漏洞,这些是企业必须首先解决的问题。
企业必须优先完成这些工作。大多数企业不需要新的工作目标;目标几乎总是在他们眼前。企业不应该对相同的老问题投入金钱、人力资源和新技术,企业首先需要纠正导致问题的情况。如果企业不解决这些问题,无论他们部署任何威胁情报框架来获取情报,都无法解决根本问题。
这并不是说Facebook的ThreatData框架不会为其业务增值,或者从长远来看帮助那些利用或允许Facebook访问的企业。但这对Facebook的用户群肯定是好的。这种系统并不会对企业安全团队正试图完成的任务带来影响。企业作出的每个安全决策都需要考虑关于现有和新威胁的全面而详细的信息,例如ThreatData框架提供的信息。此外,有些安全漏洞不受企业的直接控制,例如零日漏洞和Android中的无数漏洞。
企业需要明智地选择其安全做法。ThreatData框架等大数据技术并不能解决企业所有的安全问题,但它们肯定可以补充企业的安全方案,甚至能够为面临高级威胁的企业提供价值。企业能做的最好事情就是从ThreatData中学习经验。Facebook不仅有强有力的安全事件检测和响应做法,而且他们还能够看到更大的视图。可以说,响应是新的检测。这并不是在于阻止攻击者利用所有已知漏洞,而是在于如何最小化对网络的影响。Facebook的ThreatData框架超越了传统NIST和ISO-IEC安全标准,它可以作为构建更全面的方法和管理信息安全风险的基础。