實(shí)時(shí)威脅情報(bào)能解決一切?
“實(shí)時(shí)情報(bào)”的概念常被描述為解決我們安全問題的靈丹妙藥。理論上確實(shí)是這樣。畢竟,情報(bào)的最終目的,就是讓其消費(fèi)者掌握相對(duì)于相關(guān)威脅和對(duì)手的決策優(yōu)勢(shì)。因此,如果在潛在惡意活動(dòng)發(fā)生的“當(dāng)時(shí)”就能消費(fèi)適用于這些威脅或?qū)κ值那閳?bào),理論上情報(bào)能提供的決策優(yōu)勢(shì)會(huì)更為巨大。
但實(shí)際上,實(shí)時(shí)情報(bào)極其難以實(shí)現(xiàn)。當(dāng)前很多威脅情報(bào)產(chǎn)品都僅限于解決已有各種威脅,滿足不了公司企業(yè)希望強(qiáng)化整體安全態(tài)勢(shì)和緩解企業(yè)整體風(fēng)險(xiǎn)的需求。原因如下:
實(shí)時(shí)情報(bào)是反應(yīng)式的
最成功的情報(bào)程序力求在危害造成前就理解相關(guān)威脅和對(duì)手。然而,當(dāng)前很多標(biāo)榜為實(shí)時(shí)情報(bào)的產(chǎn)品都不過是集成各類攻擊指標(biāo)(IoC)的自動(dòng)化解決方案,嚴(yán)格說來只能算是反應(yīng)式的。
IoC本質(zhì)上是技術(shù)性質(zhì)的,僅提供對(duì)現(xiàn)有單個(gè)威脅和已發(fā)生惡意活動(dòng)的相關(guān)情報(bào)。雖然這些解決方案能大幅提升網(wǎng)絡(luò)防御和邊界安全,但在其他方面就沒什么用了,絕對(duì)不能當(dāng)成安全項(xiàng)目的唯一情報(bào)來源。
實(shí)時(shí)情報(bào)的上下文不完整
由于大多數(shù)現(xiàn)有實(shí)時(shí)情報(bào)產(chǎn)品基本上就是IoC的集合,它們能提供的上下文非常有限。IoC能反映出電子郵件簽名或IP地址的可疑跡象,但往往告訴不了我們?yōu)槭裁纯梢伞O胍u(píng)估IoC的整個(gè)上下文和相關(guān)性,需要人類分析師進(jìn)行更多研究和深入分析。而鑒于大部分安全團(tuán)隊(duì)每天都收到大量IoC,該人工分析過程是相當(dāng)耗時(shí)且低效的。
舉個(gè)例子,假設(shè)有IoC是感染了惡意軟件的流行網(wǎng)站URL。很多情況下,該IoC會(huì)自動(dòng)觸發(fā)企業(yè)網(wǎng)絡(luò)對(duì)該URL的訪問屏蔽規(guī)則。但如果該網(wǎng)站是剛剛才感染了惡意軟件呢?如果公司員工是從移動(dòng)網(wǎng)絡(luò)訪問的該網(wǎng)站呢?屏蔽該URL真的是對(duì)抗此威脅最有效的方式嗎?因?yàn)镮oC往往是靜態(tài)且缺乏上下文的,它們幾乎提供不了威脅的完整情況和潛在影響。
實(shí)時(shí)情報(bào)可能會(huì)模糊風(fēng)險(xiǎn)焦點(diǎn)
如果實(shí)時(shí)情報(bào)是安全團(tuán)隊(duì)消費(fèi)的唯一一種威脅情報(bào),安全團(tuán)隊(duì)就會(huì)失去對(duì)威脅態(tài)勢(shì)的宏觀了解,無法探知公司面臨的潛在影響。比如說,實(shí)時(shí)情報(bào)可能會(huì)提示安全團(tuán)隊(duì)注意“應(yīng)防范哪個(gè)網(wǎng)絡(luò)釣魚行動(dòng)”,但像是“如何提升全公司網(wǎng)絡(luò)釣魚警惕性,增強(qiáng)公司整體安全與風(fēng)險(xiǎn)意識(shí)”之類戰(zhàn)略性的問題,實(shí)時(shí)情報(bào)就無能為力了。最有效的安全團(tuán)隊(duì)必然不僅僅關(guān)注收集IoC和阻攔各種威脅,他們還會(huì)盡力了解為什么會(huì)出現(xiàn)這些威脅,可以做些什么來增強(qiáng)公司的整體風(fēng)險(xiǎn)態(tài)勢(shì)。
公司企業(yè)可以靠實(shí)時(shí)情報(bào)產(chǎn)品來進(jìn)行戰(zhàn)術(shù)性網(wǎng)絡(luò)防御,但絕對(duì)不能把實(shí)時(shí)情報(bào)當(dāng)成一旦部署就可高枕無憂的“萬靈丹”。
公司企業(yè)的安全和風(fēng)險(xiǎn)戰(zhàn)略中應(yīng)融入相關(guān)、完整且可執(zhí)行的情報(bào),比如業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)(BRI),而不應(yīng)僅僅著眼IoC,只有這樣才能獲得真正的決策優(yōu)勢(shì),以應(yīng)對(duì)大量相關(guān)威脅和充滿惡意的對(duì)手。
