从WannaCry到NotPetya,2017年全球呈现出了新一轮的网络威胁趋势,一起起攻击事件以机器速度(machine-speed)定期占据着新闻报道的头版头条。一般在遭遇勒索软件攻击之后,谈论最多的话题要么是找出攻击背后的罪魁祸首,要么是感叹自身未能及时修复漏洞,但是现在出现了一个更亟待解决的问题:面对如此高自动化的攻击趋势,安全团队不得不迅速做出响应。然而,可悲的是,作为网络安全捍卫者,我们却很难跟上攻击者的步伐。
面对全球超过100万的网络安全专业人员技能缺口,组织如何才能实现在复杂而迅速的攻击活动中占得先机,保持主动呢?接下来就为大家提供一些建议,以帮助您能够在2018年运用相同的资源发挥更大的效用。
1. 让AI挑大梁
我们正面临严重的网络安全技能短缺现状,市场对熟练从业者的需求始终得不到满足。公司也很难为相应的岗位找到合适的人选,但除此之外,分析师必须保持积极性——避免“警报疲劳”(alert fatigue,即对安全警报变得麻木,从而忽视或未能准确地回应这样的警报)和“心理疲乏”(burnout,即长期从事相同的工作内容以致于感到莫名的烦躁和焦虑)。
人工智能技术不仅可以使我们现有的安全团队更加高效,而且能够帮助企业最大限度地解放人力,使安全团队可以专注于更高层次的战略性工作部署。
人工智能技术可以最大限度地减少误报,并提醒安全团队真正的威胁所在,从而确保您的安全团队能够专注于研究和修复网络上存在的最严重的威胁。
此外,在当今时代,企业想要雇佣一名合适的安全分析师依然是一件很难的事,所以一定要确保其积极性,避免其产生心理上的疲乏,对工作失去热情和参与度。
2. 招聘过程中重视创新性
现在是时候重新考虑您的招聘策略了。一般来说,大多数企业的安全团队都是由经验丰富的安全专家和网络分析师组成的,他们主要使用自身累积的经验来识别威胁指标。然而,具有人工智能技术加持的新手网络安全专家也能够捕捉到这些威胁,甚至是最具危害性的威胁。
最有效的安全团队不一定是最大的或最有经验的,但绝对是最具多样化的——技能娴熟的网络专业人员、工程师、分析师以及直觉灵敏的商业思想家缺一不可。2018年,我们需要重组和训练我们的安全团队,配合用于捕获和应对威胁的新型人工智能技术。
3. 了解企业内部情况
通过可识别的徽章就能顺利进入办公大楼,利用有效的密码就能成功侵入公司网络,不得不说,一些影响颇深的违规事件都是由“内部威胁者”引起的——然而这些又往往是最难以发现的威胁。
根据Ponemon公司最新的一项研究成果显示,企业平均需要花费50天的时间来修复一场恶意的内部攻击活动。但是,对于具有正确访问级别的员工而言,却只需要一天时间就能够获取到专利药物配方、正在进行的合并项目细节或新项目的发布日期等信息,并将这些信息泄漏给竞争对手。
鉴于此,您应该认真审视自身并询问自己一个关键的问题——我的堆栈中是否有可以检测出内部威胁的工具?
企业对于自己员工的“正常”行为模式往往缺乏理解,更不用说什么流氓设备或第三方曝光。如果缺乏这方面的认知,早期的威胁指标往往只能在一片“噪声”(威胁警报)中失去效用,让企业产生“警报疲劳”,忽略那些本应重视的威胁,使其演变成真正的危机。
溯源性网络防御的时代已经结束,为了准确检测内部威胁,我们需要能够快速识别、了解和报告存在威胁性的用户和设备行为的团队和技术——提醒我们的团队更换或改变早期网络威胁的指标。
4. 少即多:按严重性顺序优先处理威胁
我们正在淹没于数据之中。ESG研究发现,38%的企业会收集、处理和分析超过10TB的数据,来作为其每月安全操作的一部分。而Ovum的一份报告发现,超过三分之一的银行每天会收到超过20万次安全警报。
对于安全团队而言,想要找到下一个NotPetya或WannaCry威胁指标无异于大海捞针。组织不仅需要找到这种威胁,而且需要在其造成实际损害之前找到它——换句话说,需要即时/实时的找到这些威胁。但是现在,你的团队每天需要对20多万条警报进行筛选,还如何能够发现潜伏在网络中的微妙威胁?
我们的安全团队正面临着一个不可逾越的难题——对数以千计在Web代理日志、反病毒日志以及SIEM日志等之间传播的这些误报进行分类——不幸的是,只能得到关于实际发生事件的一个不完整画面。安全运营管理平台(SOC)需要的最后一样东西是另一种生成大量警报的工具。
按照严重程度对威胁进行可视化和优先级划分,能够证明“实时地发现这些威胁”与“数百天后发现这些威胁”之间的区别。根据偏离“正常”行为模式的水平,可以对真正的威胁进行优先级划分,如此可以方便各种规模的安全团队组织快速地调查、修复并转移到下一个事件,从而最大限度地节省了时间也提高了工作效率。
随着攻击速度日益加快、黑客变得越来越聪明,我们需要创造性地进行思考,为安全团队赢回更多时间。人工智能能够为我们承担很多工作,优先处理警报并自动应对轻微的威胁;而战略招聘则可以使我们的团队更具效率和活力。这些策略可以为我们和我们的团队提供更多的时间,专注于优先事项和战略举措,使我们能够采取更积极主动的方式进行网络防御。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】