威脅情報不起作用的5個主要原因
網絡安全人員網絡難以獲得威脅情報的益處。幸運的是,克服這些難題的方法并非不存在。
進攻就是最好的防御。想要獲得最佳防御,我們必須采取主動。只要感知到,必然有所準備。無論你的網絡安全團隊信奉哪種策略,對抗網絡犯罪都需要偵聽對手的動靜以預測威脅。
這就是威脅情報存在的意義,難道不是嗎?在被黑客惡意利用之前識別并修復企業IT基礎設施中的弱點。至少理論上是這么說的沒錯吧?而且很多公司企業也確實在買入各種威脅情報,威脅情報服務全球總支出從2014年的9.055億美元上升到2018年預期將超過的14億美元就是明證。
問題在于,CSO和網絡安全人員常常難以抽取威脅情報的好處。我們不妨分析一下其中的原因,找出解決問題的辦法。
1. 與特定網絡安全需求不相匹配
網絡安全團隊有時候會將威脅情報視為能抵御黑客和騙子的快速解決方案。但這一期待實在是有些過高了。事實是,世上根本沒有一招通吃的萬能威脅情報。
相反,威脅情報解決方案應根據每家企業、附屬公司,甚至各個部門自身的特定安全需求來實現,否則最后拿到的就只是一堆毫不相關的堆砌數據,只會給公司一種虛幻的安全感。
比如說,金融服務公司可能就只想密切注意旨在欺騙目標人物交出信用卡和銀行賬號的假冒網站和惡意聯系表單。
同時,技術提供商關注的就是確保私有信息(比如商業秘密和研發進度)不落入壞人手里,無論是通過電子郵件欺騙還是加密漏洞,或者是惡意軟件。
2. 沒資源來根據威脅情報采取行動
即便拿到了威脅情報,你打算怎么使用該信息來響應即將到來的威脅呢?現實是,多重原因作用下,44%的日常安全警報從未被調查,威脅情報數據也從未被利用。
有可能是公司里沒人知道怎么翻譯自己看到的情報,就更別提根據情報采取行動了。或者是公司領導層就不重視這方面,也缺乏筑起防御所需響應的預算。
無論如何,只知道有問題,但不理解安全漏洞到底在哪兒,或者沒有解決問題的途徑,是無法減少網絡攻擊的普遍性或烈度的。
想要彌補這一缺口,最好獲得來自高管層的支持,分配資源對相關員工進行威脅情報工作實操和漏洞處理切實步驟的培訓。
3. 將威脅情報等同于其他網絡安全工作
威脅情報與其他網絡安全工作之間有著不可否認的聯系。威脅情報是為安全意識培訓、服務器錯誤配置發現、新興惡意軟件認知等安全工作提供指導的。
遵照這個思路,很容易就會假定任何安全人員都具備處理威脅情報的素質。然而,威脅情報與其他安全工作之間存在方向和方法論上的巨大差異。
首先,威脅情報是具備大局觀的分析師的工作,要為主動威脅預防和攔截建立網絡安全路線圖。這與事件響應專家在事件發生時逐一加以緩解的角色大為不同。
有必要承認這種差異性,在網絡安全團隊中重新分配職責,設立專門的人監視現有和新近納入的在線資產上的新興威脅。
4. 沒能集成威脅情報
你怎么確定網絡安全人員使用了威脅情報洞見?產品引進的最快途徑就是將創新鏈接進用戶已經接受了的事物中,威脅情報也不例外。
事實上,很有必要將威脅情報及其數據饋送連接上已經部署了的常見軟件,比如安全信息與事件管理(SIEM)應用。這么做可以加速威脅情報實現,讓威脅洞見作為整體網絡安全項目的一部分更容易被獲取到。
缺乏集成不僅會削弱威脅情報的效用,還會增加網絡安全團隊的工作量,讓他們陷入手工收集和比較數據以評估基礎設施健康度的無盡麻煩中。
5. 忽視威脅情報術語
取決于你的交談對象,威脅情報意味著不同的東西,其相應的語言也區別很大。如果忽略了這一點,公司各類利益相關者很快就會搞不清楚狀況,不理解你在說什么。
高級經理談論威脅情報的時候,重點可能在于高層決策。比如,這個財年的安全預算花在哪兒?哪家技術供應商因為沒遵守公司安全策略而需要被踢出去?
但如果是網絡安全分析師湊一堆,談話就完全是技術型的了。比如,我們的SSL證書到期沒?我們要不要連接那個惡意軟件數據庫探查勒索軟件攻擊?員工日常訪問的前100家網站都是啥?
通過內部溝通與宣傳活動,我們有必要確保相關各方意識到看待威脅情報的不同角度。總體上,威脅情報視角可分為兩個層面,一個考慮并購與長期合作伙伴關系之類戰略性事務,另一個注重操作層面的問題,比如網站、服務器和應用的強化、修復及配置。
與其他新操作一樣,威脅情報自帶吸引CSO及其安全團隊的各種美好前景。但上文中討論的幾種誤解,會持續阻礙威脅情報的全面部署和打擊網絡犯罪的潛力發揮。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
