【51CTO.com快译】网络界的军备竞赛在迅速推进。网络犯罪分子凭借惊人的速度、敏捷性和创新,瞬间突破毫无防备的组织,窃取整个企业的数据、信任和未来。他们贪婪地攻击,一年前我们对于威胁分子和网络罪犯分子的认识与今天似乎大不一样。
这是网络威胁成为众多企业、品牌、运营和财务面临的头号风险的主要原因。2017年犯罪行为及不断变化的策略有起有落,勒索软件创新和网络攻击手段方面更是如此。
为了应对这些类型的攻击,企业了解、访问并利用可付诸行动的实时网络威胁情报(CTI)以帮助加强安全状况很重要。说到底,可见性和安全意识是关键。
CTI让我们知己知彼
可见性并不总是与现状联系在一起。由于网络威胁格局不断变化,冷静下来,彻底审查、分析和学习现有网络安全策略的成败显得很重要。
我们总是可以做更多的事。我们可以更迅速地分析和更迅速地优化,更灵活、更有力应对攻击。只有我们了解了数据,才能做到这一点。
比如说,SANS Institute发表了一篇报告,强调企业亟需更高的网络可见性,尤其是攻击者、工具和攻陷指标(IOC)等方面可付诸行动的数据或情况。他们的2018年研究报告
(http://www.domaintools.com/resources/white-papers/sans-2018-cyber-threat-intelligence-survey?ref=pr&rc=sanscti)特别指出,68%的组织目前在创建或使用CTI数据。恶意软件指标和威胁分子觊觎的安全漏洞方面的情报是两个最有用的数据集。
了解什么正在面临风险?
对于一些企业和组织来说,尽管仍然很难,收集、分析和运用CTI却是家常便饭。在其他组织,由于专业知识、预算、公司规模或另外许多制约因素,还做不到这点。
每家组织都应该知道自己面临的风险。应该在别的方面如何充分保护自己的网络和数据?现在是时候更好地让我们的信息技术(IT)管理员、安全分析员、取证分析专家、网络架构师和安全操作中心(SOC)掌握更准确的威胁数据了,包括针对性信息和宏观层面的威胁情报。
作为一个基准,可付诸行动的网络威胁情报可以分为以下几类:
- 恶意软件:这是个大类,涵盖部署在针对性的机器、设备或网络上,用于非法牟利或非法活动(比如窃取数据和登录信息、故意破坏和间谍活动等)的恶意软件。
- 勒索软件:这种恶意软件加密用户或组织的数据,索要赎金(常常以加密货币的形式来支付),才能解密数据。
- 零日威胁:这种前所未见的安全漏洞需要立即打上补丁或修复程序,以纠正和预防。
- 入侵:范围广泛的网络泄密,包括应用程序漏洞、蠕虫、特洛伊木马、软件漏洞以及可能影响网络安全、性能或可靠性的其他恶意流量。
- 加密攻击:这类恶意软件或其他恶意的有效载荷使用安全套接字层(SSL)或传输层安全性(TLS)标准进行加密,企图隐藏攻击行为,挫败标准安全控制措施(比如没有深度数据包检测功能的防火墙)。
- 垃圾邮件:主动发来的大量邮件,为网络犯罪分子将恶意的URL或文件植入到网络上提供了机会。
- 网络钓鱼:利用社交工程伎俩的针对性电子邮件,常常冒充是合法用户、朋友、同事或商家,鼓励收件人点击恶意链接、打开附件和执行文件等。
充分利用为这几类威胁提供真实数据的CTI工具可用于做出更明智的决策,从而改进安全结果。比如说,来自SonicWall的CTI数据发现,仅在2018年第一季度,普通客户就遭到了:
- 7739次恶意软件攻击,比2017年第一季度增加151%
- 173次勒索软件攻击事件,比2017年第一季度增加226%
- 335次加密网络攻击,比2017年第一季度增加430%
- 963次网络钓鱼攻击,同比增加15%
- 554次零日攻击,比2017年增加14%
按照攻击类型、源头和地区来分析这类数据有助于我们了解网络攻击趋势在如何转变或发展,因而改进组织如何确定预算、资源和工作的优先级。
实际运用CTI
情报本身不是特别有用。它需要与提供层次化网络安全态势的更大平台实时整合起来。从逻辑上讲,威胁情报和相关分析是任何现代网络安全平台的两大功能,这种平台需要能够收集和分析CTI,以获得更好的安全自动化。
SANS声称,57%的组织在通过专用平台将CTI整合和连接到其环境中。另外许多组织(48%)在使用供应商提供的应用编程接口(API)。
比如说,自动化、数据驱动的攻击防范平台应该十八般武艺样样精通:阻止已知和未知的恶意软件(比如零日攻击),终止加密攻击,简化安全管理,加强可见性和安全意识,帮助系统恢复到健康状态(比如回滚),保护范围适用于网络、电子邮件、云和端点设备。
网络安全需要情报和多功能
网络犯罪分子和威胁分子资金充裕、动作敏捷、老奸巨滑,但私营和公共部门在这场网络战中正在改变形势。
想在网络战中存活下来,组织就要确保已部署的设备、安全解决方案和战略在不断加以评估或优化,辅以实时网络威胁情报,这将确保它们是整合的、分层次的、多功能的。网络安全从来不是一蹴而就的,也不是可有可无的。
它需要永远保持警觉、意识、防备和决心。
原文标题:Real-Time Cyber Threat Intelligence Is More Critical Than Ever,作者:Bill Conner
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
