对于许多企业的安全运营中心团队来说,防御网络攻击在很大程度上是被动的措施,因为他们面临着日益复杂的威胁和不断扩大的攻击面,这些威胁来自远程工作和大量云计算应用程序,这些应用程序为未经授权的用户提供了无数的系统访问点。
对安全事件做出迅速而彻底的响应是关键,了解事件发生的方式、时间和原因的大局也很重要。对网络威胁作出反应而不从整体上防御可能会陷入无限的恶性循环中,在这种情况下,遏制安全威胁只是为了等待网络攻击者再次利用相同的网络攻击方法。
不幸的是,当企业开始遏制网络威胁时,其行为可能会为威胁行为者敲响警钟,促进他们加快网络攻击或改变技术。因此,安全运营中心团队分析网络威胁事件发生的方式、时间和原因至关重要。
网络威胁情报的重要性
网络威胁情报包含有关网络攻击者的战术、技术和程序的信息,它使企业能够对其网络安全计划做出更明智和数据驱动的决策,从而推动更成功地保护和检测,并应对当今的网络攻击。
正如调研机构Gartner公司所确认的那样,“基于证据的知识,包括背景、机制、指标、影响以及关于现有或正在出现的资产威胁或危害的可操作建议……可用于告知有关主体对该威胁或危害的反应的决策。”
网络威胁情报可以帮助企业识别盲点,为安全运营中心团队提供有关威胁形势的宝贵见解,最终使他们能够降低风险。通过应用威胁情报来识别和理解网络攻击者与其TTP之间的关系,安全分析师需要针对其特定环境采取更有效的主动措施。
当今企业面临的威胁情报挑战
网络威胁形势如今不断发展,诸如针对Colonial输油管道的DarkSide勒索软件活动(导致美国石油公司的管道关闭并支付约500万美元的赎金)和SUNBURST(导致SolarWinds公司数据泄露的恶意软件变种)等网络攻击事件泄露了30000多个公共和私人组织的数据,这只是网络攻击事件的冰山一角。
近年来,为了更好地应对出现的网络威胁并采取明智的行动,许多企业都试图利用网络威胁情报。然而在实践中,安全运营中心团队往往看不到切实的结果。根据信息安全论坛的研究,其82%的成员拥有网络威胁情报的能力,其余18%的成员正在计划实施,但只有25%的成员认为他们达到了预期目标。
这主要是由于网络威胁情报的常见缺陷,例如无法有效处理、关联和分析数据,因为信号和遥测数据量巨大,在远程点收集测量值或其他信息,并自动传输到接收设备。大多数威胁情报解决方案在很大程度上依赖于人为干预来整合、解析、丰富和验证数据,他们的分析可能过于关注网络攻击者是谁,而不是如何补救和采取应对行动。
另一个问题是威胁情报来源通常是孤立的,安全运营中心团队缺乏正确的技术和流程来连接和关联他们的数据以获得更完整的信息。因此,实施网络威胁情报变得既昂贵又耗时,安全人员致力于将有意义的洞察与无用的信息区分开来。
利用人工智能获取威胁情报
随着安全事件队列的不断增长,“平均检测时间”(MTTD)和“平均响应时间”(MTTR)等响应时间指标也在上升,这一点也不足为奇。鉴于执行这些类型的深入分析的最大障碍之一是时间和资源,关键问题是企业如何获取和评估他们需要的情报,而不会给已经超负荷工作的安全团队增加更多的工作。
实现网络威胁情报全部价值的最有效方法之一是将人工智能与人类智能结合起来。这样做可以解决两个主要问题:需要人工处理的数据量以及人工关联和场景数据所需的时间。
通过利用人工智能驱动的自主安全工具,安全专业人员可以减少他们以前完成的大量劳动密集型工作。这些人工智能驱动的平台可以执行TTP分析并大规模实时关联传入的威胁。
一些平台甚至提供了一个控制台,安全运营中心团队可以从中调查特定事件,访问有关威胁首次出现的时间、最后一次出现的时间以及数据泄露范围的信息。此类平台还可以快速识别威胁类型(例如勒索软件活动),甚至可以深入了解网络攻击者的每个步骤如何映射到MITRE ATT&CK框架的TTP,这是一个全球可访问的网络攻击者策略知识库和基于现实经验的技术,可以开发众包网络安全防御措施。
结论
网络攻击者正在采用新颖且日益复杂的技术来渗透和攻击网络和系统,而当今的大多数安全团队都不堪重负,无法对其所有事件调查进行深入且有意义的分析。但是在人工智能驱动的自主工具的帮助下,安全运营中心团队现在可以大规模访问实时威胁建模、事件关联和TTP分析,使威胁分析师能够做出明智的、具有数据支持的决策。人工智能和人类智能的这种结合为网络数据提供了场景、丰富性和可操作性,并使企业能够采取更加自动化和主动的防御方法和措施——不仅跟上网络攻击者的发展步伐,甚至领先一步。