實時網絡威脅情報比以往來得更重要
譯文【51CTO.com快譯】網絡界的軍備競賽在迅速推進。網絡犯罪分子憑借驚人的速度、敏捷性和創新,瞬間突破毫無防備的組織,竊取整個企業的數據、信任和未來。他們貪婪地攻擊,一年前我們對于威脅分子和網絡罪犯分子的認識與今天似乎大不一樣。
這是網絡威脅成為眾多企業、品牌、運營和財務面臨的頭號風險的主要原因。2017年犯罪行為及不斷變化的策略有起有落,勒索軟件創新和網絡攻擊手段方面更是如此。
為了應對這些類型的攻擊,企業了解、訪問并利用可付諸行動的實時網絡威脅情報(CTI)以幫助加強安全狀況很重要。說到底,可見性和安全意識是關鍵。
CTI讓我們知己知彼
可見性并不總是與現狀聯系在一起。由于網絡威脅格局不斷變化,冷靜下來,徹底審查、分析和學習現有網絡安全策略的成敗顯得很重要。
我們總是可以做更多的事。我們可以更迅速地分析和更迅速地優化,更靈活、更有力應對攻擊。只有我們了解了數據,才能做到這一點。
比如說,SANS Institute發表了一篇報告,強調企業亟需更高的網絡可見性,尤其是攻擊者、工具和攻陷指標(IOC)等方面可付諸行動的數據或情況。他們的2018年研究報告
(http://www.domaintools.com/resources/white-papers/sans-2018-cyber-threat-intelligence-survey?ref=pr&rc=sanscti)特別指出,68%的組織目前在創建或使用CTI數據。惡意軟件指標和威脅分子覬覦的安全漏洞方面的情報是兩個最有用的數據集。
了解什么正在面臨風險?
對于一些企業和組織來說,盡管仍然很難,收集、分析和運用CTI卻是家常便飯。在其他組織,由于專業知識、預算、公司規模或另外許多制約因素,還做不到這點。
每家組織都應該知道自己面臨的風險。應該在別的方面如何充分保護自己的網絡和數據?現在是時候更好地讓我們的信息技術(IT)管理員、安全分析員、取證分析專家、網絡架構師和安全操作中心(SOC)掌握更準確的威脅數據了,包括針對性信息和宏觀層面的威脅情報。
作為一個基準,可付諸行動的網絡威脅情報可以分為以下幾類:
- 惡意軟件:這是個大類,涵蓋部署在針對性的機器、設備或網絡上,用于非法牟利或非法活動(比如竊取數據和登錄信息、故意破壞和間諜活動等)的惡意軟件。
- 勒索軟件:這種惡意軟件加密用戶或組織的數據,索要贖金(常常以加密貨幣的形式來支付),才能解密數據。
- 零日威脅:這種前所未見的安全漏洞需要立即打上補丁或修復程序,以糾正和預防。
- 入侵:范圍廣泛的網絡泄密,包括應用程序漏洞、蠕蟲、特洛伊木馬、軟件漏洞以及可能影響網絡安全、性能或可靠性的其他惡意流量。
- 加密攻擊:這類惡意軟件或其他惡意的有效載荷使用安全套接字層(SSL)或傳輸層安全性(TLS)標準進行加密,企圖隱藏攻擊行為,挫敗標準安全控制措施(比如沒有深度數據包檢測功能的防火墻)。
- 垃圾郵件:主動發來的大量郵件,為網絡犯罪分子將惡意的URL或文件植入到網絡上提供了機會。
- 網絡釣魚:利用社交工程伎倆的針對性電子郵件,常常冒充是合法用戶、朋友、同事或商家,鼓勵收件人點擊惡意鏈接、打開附件和執行文件等。
充分利用為這幾類威脅提供真實數據的CTI工具可用于做出更明智的決策,從而改進安全結果。比如說,來自SonicWall的CTI數據發現,僅在2018年第一季度,普通客戶就遭到了:
- 7739次惡意軟件攻擊,比2017年第一季度增加151%
- 173次勒索軟件攻擊事件,比2017年第一季度增加226%
- 335次加密網絡攻擊,比2017年第一季度增加430%
- 963次網絡釣魚攻擊,同比增加15%
- 554次零日攻擊,比2017年增加14%
按照攻擊類型、源頭和地區來分析這類數據有助于我們了解網絡攻擊趨勢在如何轉變或發展,因而改進組織如何確定預算、資源和工作的優先級。
實際運用CTI
情報本身不是特別有用。它需要與提供層次化網絡安全態勢的更大平臺實時整合起來。從邏輯上講,威脅情報和相關分析是任何現代網絡安全平臺的兩大功能,這種平臺需要能夠收集和分析CTI,以獲得更好的安全自動化。
SANS聲稱,57%的組織在通過專用平臺將CTI整合和連接到其環境中。另外許多組織(48%)在使用供應商提供的應用編程接口(API)。
比如說,自動化、數據驅動的攻擊防范平臺應該十八般武藝樣樣精通:阻止已知和未知的惡意軟件(比如零日攻擊),終止加密攻擊,簡化安全管理,加強可見性和安全意識,幫助系統恢復到健康狀態(比如回滾),保護范圍適用于網絡、電子郵件、云和端點設備。
網絡安全需要情報和多功能
網絡犯罪分子和威脅分子資金充裕、動作敏捷、老奸巨滑,但私營和公共部門在這場網絡戰中正在改變形勢。
想在網絡戰中存活下來,組織就要確保已部署的設備、安全解決方案和戰略在不斷加以評估或優化,輔以實時網絡威脅情報,這將確保它們是整合的、分層次的、多功能的。網絡安全從來不是一蹴而就的,也不是可有可無的。
它需要永遠保持警覺、意識、防備和決心。
原文標題:Real-Time Cyber Threat Intelligence Is More Critical Than Ever,作者:Bill Conner
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
