在去年召开的RSA安全大会上,各类规模的企业都开始认识到高层员工与间谍机构之间关联是前所未有。来自“威胁情报”以及端点保护等领域的初创企业则大力宣传其高管团队在RSA当中以先驱身份探讨先进威胁与攻击活动来源的出身背景。
然而,无论是在RSA安全大会还是其它活动平台之上,2014年给我们留下深刻印象的仍然是网络安全人才极度匮乏所导致的被动局面。在此期间,寻找在识别与分析复杂网络威胁领域拥有丰富经验的专家已经成为一项几乎令人绝望的任务。而将他们真正拉入自家麾下则更是难上加难,事实上只有极少数企业有能力在内部体系当中负担起构建网络法务专家团队所带来的高昂成本。
在思科2014年年度安全报告当中,思科发现全球范围内安全专家人才缺口已经超过一百万,而这一现状直接导致复杂及隐蔽性安全违规问题难以得到解决。报告强调,大多数企业及机构都不具备必要的人才或者系统方案,从而对扩展网络进行持续性监控,更谈不到随后需要实现的及时且有效的入侵检测以及保护机制部署。
Securosis公司分析师Mike Rothman指出,“我所听到的、被提及最多的问题就是‘我们找不到合适的人选,’而且这里所说的还仅仅是那些有能力配置IPS(即入侵防御系统)设备、而非恶意软件分析人才,”
而在解决这一问题的过程中,业界开始越来越多地将云方案摆在首要方案这一重要地位之上。最近几年里,以CrowdStrike公司为代表的相关企业开始逐步崛起,尝试将端点与网络行为监控所获得的“违规指标”同托管在云环境当中的数据分析服务结合在一起。
这种处理方式拥有独特的优势——特别是在IT环境正变得愈发开放,其中用户行为已经不再局限于被保护在企业防火墙之后的特定端点集合当中。但威胁情报服务却也存在着自己的短板,其主要表现在威胁缓和领域。安全专家们指出,要想切实完成威胁缓和这一既定目标,最具实际意义的作法在于将同环境本身相关的背景信息同样纳入保护当中。
“在威胁情报的演变过程中,出现了一系列相当值得关注的创新性成果,”Co3 Systems公司首席营销官Ted Julian指出。“但只有在大家将其加以实际运用之后,此类成果才能够切实发挥作用。其实际运用绝非易事,我们需要为其储备完全不同于以往的技能组合。”
Co3公司打造出一套基于Web的软件平台,允许企业客户从中获取威胁情报并将其输入到其它安全工具——例如安全信息管理工具——当中,进而创建出一套高度适合本公司实际情况、且包含详尽细节的响应规划。
其它多家安全企业则解决了“紧急事件响应”当中的其它一些重要组成部分。此类新型解决方案——大家不妨将其称为“情报活动即服务”——通常是将一部分网络与端点监控同基于云的管理平台相结合,从而对来自其它客户及第三方威胁情报机构的汇总数据进行整理与分析。这方面的倡导者认为,上述新型服务能够成为解决网络人才严重短缺难题的一种行之有效的办法。
其中端点安全企业FireEye就是在推动“情报活动即服务”模式方面表现最为突出的安全厂商之一。该公司近来又传出大新闻,宣称其已经以10亿美元价码收购了托管安全服务企业Mandiant。Mandiant公司的成名之作在于其所谓“先进持续性威胁”(简称APT)解决方案,目前已经有众多政府机关及其它高知名度企业加入其客户阵营。
2014年年初,FireEye公司披露了一项托管安全服务,即FireEye Security Platform。这套方案将基于端点与网络的保护机制与基于云的“监控与保护服务”加以结合,根据FireEye公司安全分析师的说法,其将“主动识别恶意活动,从而在此类攻击起效之前抢先将其揪出并予以阻止。”
但陆续涌入这一领域的小型初创企业同样不在少数。来自IT风险管理企业Rook Consulting公司(总部位于印第安纳州波利斯市)的J.J. Thompson就指出,他已经在最近几个月当中亲眼见证了其企业的迅猛发展,即由原本提供量身定制咨询服务的厂商转变为更具规范性且以恶意活动及紧急事件响应为核心的标准化端点监控方案供应商。
Rook公司的客户——其中大部分属于大型企业——普遍不具备充足的人力或者专业知识,因此没办法凭借自身力量对其网络当中的恶意软件进行复杂程度较高的精密调查,Thompson解释道。
来自马萨诸塞州坎布里奇市的Cybereason公司则是另一家极具发展潜力的相关企业,他们承诺利用所谓“边防”机制帮助客户应对那些可能在违规网络当中拥有数日、数周乃至数月潜伏周期的安全威胁。
Cybereason公司创立于2014年年初,其领导者Lior Div原本曾供职于以色列情报机构。根据他的说法,目前市场上的大部分网络安全产品都将关注重点放在了攻击活动的早期阶段——即攻击者尝试突破企业防御体系——或者攻击活动的最终阶段——即攻击者尝试获取敏感性数据。
与此相反,Cybereason公司的着眼点在于了解整个“malop”(即恶意操作)流程,即利用轻量级端点代理机制对端点进行持续性监控。由此收集到的数据会被传送回Cybereason基于云的平台当中,Div解释称,该公司就在这里利用其专利数据分析技术以及高素质专家及反恶意软件工程师资源对其加以解剖——其中很多技术人才(包括Div本人在内)都在以色列国防军(简称IDF)中接受过训练。
除此之外,建立于2014年2月18日的Cyphort公司同样凭借着出色的工具方案博得了广泛关注,其产品将多平台威胁检测与机器学习技术加以融合、同时引入了其它一些相关工具,旨在帮助安全团队识别攻击活动并解决衍生问题。该公司CTO Ali Golshan指出,Cyphort的大部分现有客户都已经拥有FireEye提供的技术方案,但他们仍然迫切需要了解关于攻击活动的更多背景信息——例如其到底属于骚扰性软件还是数据窃取木马——并渴望获得威胁消除工作的具体说明与指导。
托管网络取证与紧急事件响应方案的出现则标志着安全情报工作已经开始步入向云平台迈进的全新发展阶段,451集团分析师Wendy Nather如是说。
在某些情况下,此类服务可以被看作是现有安全管理服务的扩展或者是由云服务供应商向其客户提供的各类临时性应对手段的具体表现形式。“像Rackspace这样的企业一直都在为客户提供不间断的紧急事件响应机制,”Nather表示。“虽然此类机制并不属于服务合约当中的规定项目,但上述厂商仍然坚持肩负起此类任务、因为客户自身根本没有能力亲手完成这些工作。”
Nather同时指出,托管紧急事件响应服务虽然拥有明确的受众群体,但其发展过程中也必然面临着诸多挑战。首先,此类服务在规模化方面存在着难以逾越的障碍。此外,尽管几乎每一家遭遇过攻击活动的企业都希望获得帮助以识别并消除此类威胁,但并不是所有客户都愿意像网络取证专家们那样构建起一套各类丰富的根本性原因分析方案。“我们要做的是弄清楚客户到底愿意在这条路上走多远,”她解释称。
不过Co3公司的Julian表示,即使是规模较小的企业也同样需要工具方案来帮助自身全面了解安全事件的后果以及由此给一家公司带来的确切影响。“我们这个行业往往会将注意力集中在端点及恶意软件层面,但即使是小型企业也需要明确掌握安全威胁的来龙去脉,”Julian总结道。
原文链接:http://www.networkworld.com/article/2864463/careers/how-an-acute-shortage-of-cyber-talent-gave-rise-to-spooks-as-a-service.html