网络安全人员网络难以获得威胁情报的益处。幸运的是,克服这些难题的方法并非不存在。
进攻就是最好的防御。想要获得最佳防御,我们必须采取主动。只要感知到,必然有所准备。无论你的网络安全团队信奉哪种策略,对抗网络犯罪都需要侦听对手的动静以预测威胁。
这就是威胁情报存在的意义,难道不是吗?在被黑客恶意利用之前识别并修复企业IT基础设施中的弱点。至少理论上是这么说的没错吧?而且很多公司企业也确实在买入各种威胁情报,威胁情报服务全球总支出从2014年的9.055亿美元上升到2018年预期将超过的14亿美元就是明证。
问题在于,CSO和网络安全人员常常难以抽取威胁情报的好处。我们不妨分析一下其中的原因,找出解决问题的办法。
1. 与特定网络安全需求不相匹配
网络安全团队有时候会将威胁情报视为能抵御黑客和骗子的快速解决方案。但这一期待实在是有些过高了。事实是,世上根本没有一招通吃的万能威胁情报。
相反,威胁情报解决方案应根据每家企业、附属公司,甚至各个部门自身的特定安全需求来实现,否则最后拿到的就只是一堆毫不相关的堆砌数据,只会给公司一种虚幻的安全感。
比如说,金融服务公司可能就只想密切注意旨在欺骗目标人物交出信用卡和银行账号的假冒网站和恶意联系表单。
同时,技术提供商关注的就是确保私有信息(比如商业秘密和研发进度)不落入坏人手里,无论是通过电子邮件欺骗还是加密漏洞,或者是恶意软件。
2. 没资源来根据威胁情报采取行动
即便拿到了威胁情报,你打算怎么使用该信息来响应即将到来的威胁呢?现实是,多重原因作用下,44%的日常安全警报从未被调查,威胁情报数据也从未被利用。
有可能是公司里没人知道怎么翻译自己看到的情报,就更别提根据情报采取行动了。或者是公司领导层就不重视这方面,也缺乏筑起防御所需响应的预算。
无论如何,只知道有问题,但不理解安全漏洞到底在哪儿,或者没有解决问题的途径,是无法减少网络攻击的普遍性或烈度的。
想要弥补这一缺口,最好获得来自高管层的支持,分配资源对相关员工进行威胁情报工作实操和漏洞处理切实步骤的培训。
3. 将威胁情报等同于其他网络安全工作
威胁情报与其他网络安全工作之间有着不可否认的联系。威胁情报是为安全意识培训、服务器错误配置发现、新兴恶意软件认知等安全工作提供指导的。
遵照这个思路,很容易就会假定任何安全人员都具备处理威胁情报的素质。然而,威胁情报与其他安全工作之间存在方向和方法论上的巨大差异。
首先,威胁情报是具备大局观的分析师的工作,要为主动威胁预防和拦截建立网络安全路线图。这与事件响应专家在事件发生时逐一加以缓解的角色大为不同。
有必要承认这种差异性,在网络安全团队中重新分配职责,设立专门的人监视现有和新近纳入的在线资产上的新兴威胁。
4. 没能集成威胁情报
你怎么确定网络安全人员使用了威胁情报洞见?产品引进的最快途径就是将创新链接进用户已经接受了的事物中,威胁情报也不例外。
事实上,很有必要将威胁情报及其数据馈送连接上已经部署了的常见软件,比如安全信息与事件管理(SIEM)应用。这么做可以加速威胁情报实现,让威胁洞见作为整体网络安全项目的一部分更容易被获取到。
缺乏集成不仅会削弱威胁情报的效用,还会增加网络安全团队的工作量,让他们陷入手工收集和比较数据以评估基础设施健康度的无尽麻烦中。
5. 忽视威胁情报术语
取决于你的交谈对象,威胁情报意味着不同的东西,其相应的语言也区别很大。如果忽略了这一点,公司各类利益相关者很快就会搞不清楚状况,不理解你在说什么。
高级经理谈论威胁情报的时候,重点可能在于高层决策。比如,这个财年的安全预算花在哪儿?哪家技术供应商因为没遵守公司安全策略而需要被踢出去?
但如果是网络安全分析师凑一堆,谈话就完全是技术型的了。比如,我们的SSL证书到期没?我们要不要连接那个恶意软件数据库探查勒索软件攻击?员工日常访问的前100家网站都是啥?
通过内部沟通与宣传活动,我们有必要确保相关各方意识到看待威胁情报的不同角度。总体上,威胁情报视角可分为两个层面,一个考虑并购与长期合作伙伴关系之类战略性事务,另一个注重操作层面的问题,比如网站、服务器和应用的强化、修复及配置。
与其他新操作一样,威胁情报自带吸引CSO及其安全团队的各种美好前景。但上文中讨论的几种误解,会持续阻碍威胁情报的全面部署和打击网络犯罪的潜力发挥。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】