為了打下更積極主動的基礎(chǔ)，有些組織一直在采用威脅情報，這是一種安全實踐，它涉及在攻擊發(fā)生前篩選數(shù)據(jù)以發(fā)現(xiàn)高級持續(xù)性威脅(APT)。艾莉梅等公司提供了一個基于云端的平臺，該平臺可以處理全國約44%的抵押貸款申請，該公司進一步對威脅情報進行了更高層次的利用，其方法是利用預(yù)測分析來部署自主威脅搜尋功能。

 

艾莉梅的高級副總裁兼首席安全官Selim Aissi說：“威脅搜尋本質(zhì)上非常主動。”“你不必等攻擊發(fā)生，你要在攻擊發(fā)生之前(甚至在惡意軟件被發(fā)現(xiàn)之前)就開始研究威脅，分清威脅的高低并展開調(diào)查。”

 

艾莉梅于兩年前甚至更早的時候就開始開發(fā)針對高級持續(xù)性威脅的自主威脅搜尋項目，以此來應(yīng)對勒索軟件等威脅，Aissi稱其為任何企業(yè)中最為生死攸關(guān)且代價高昂的威脅。該項目為艾莉梅贏得了IT領(lǐng)域成就斐然的首席信息官百佳獎。

 

2019年12月，Emisoft的惡意軟件實驗室發(fā)布了一份有關(guān)《全國勒索軟件現(xiàn)狀》的報告，該報告發(fā)現(xiàn)，美國在2019年遭受了“前所未有且毫不留情的勒索軟件攻擊”，其潛在成本逾75億美元，其中包括贖金支付、數(shù)據(jù)恢復(fù)、法院調(diào)查和收益損失。

 

Aissi說：“本行業(yè)和類似行業(yè)所面臨的最大威脅就是勒索軟件。勒索軟件對所有公司產(chǎn)生了災(zāi)難性影響。在SaaS類公司中，當服務(wù)中斷數(shù)日或數(shù)周時，這就是災(zāi)難。”

 

 

Aissi說，由于傳統(tǒng)的勒索軟件防護技術(shù)提供靜態(tài)威脅防護，因此它們遇到了難題，即很難跟上新出現(xiàn)的復(fù)雜勒索軟件技術(shù)。主動從以往的勒索軟件攻擊中學(xué)習(xí)，以此來了解新的危害指標，發(fā)現(xiàn)新的規(guī)避技術(shù)，然后使用這些技術(shù)。艾莉梅的自主威脅搜尋(Autonomous Threat Hunting)程序就是這么做的，該程序利用威脅情報、預(yù)測分析、人工智能以及約定俗成的危害指標(IOC)來將其引入現(xiàn)有的安全控制中。

 

有效的威脅情報程序所面臨的最大難題之一就是龐大的數(shù)據(jù)量。艾莉梅首先通過人工處理危害指標(IOC)上的數(shù)據(jù)并將這些洞察提供給各種安全工具。但是，一旦打下了這樣的基礎(chǔ)，Aissi及其團隊便進行了“非常積極的自動化之旅”，從而使該組織能夠及時采取行動。

 

Aissi說：“我們將不同來源的數(shù)據(jù)的匯總自動化，將驗證自動化，還將針對安全操作的警報自動化。這可以說是我們旅途中的大躍進。”

 

另一個重大步驟是：獲取行政管理層和利益相關(guān)者的支持。Aissi初期與高級行政團隊、董事會、監(jiān)管機構(gòu)和執(zhí)行顧問委員會一一會晤。

 

Aissi說：“過去三年中，我已經(jīng)對威脅搜尋程序進行了大量驗證。我們征集了很多與此相關(guān)的意見。我們正在執(zhí)行一個明確的計劃和路線圖，但還沒有完成。”

 

與許多大型轉(zhuǎn)型項目一樣，變革管理也已成為必不可少的組成部分。

 

Aissi說：“從變革管理的角度來看，很多影響實際上是對安全運營團隊和工程團隊的影響。其中許多功能往往是手動的，安全分析人員必須去收集威脅信息并手動將這些信息錄入到各種工具中。我們必須對此進行調(diào)整并培訓(xùn)安全分析人員和工程師采用這種新的自主方式。”

 

變革管理對Aissi而言尤為重要，因為“自主威脅搜尋”計劃并不是一個獨立的計劃。如今，它已與網(wǎng)絡(luò)安全組織的所有工作捆綁在一起，包括漏洞管理程序和補丁程序管理。不過，這樣做的好處是免去了手動進行的威脅搜尋任務(wù)，使安全工程師和安全分析人員可以從事其他任務(wù)，團隊也不必繼續(xù)使用只能進行靜態(tài)監(jiān)視和檢測的幾種安全工具。

 

該項目還需要高水平的跨部門合作。安全團隊與工程，基礎(chǔ)設(shè)施，云端和質(zhì)量保證緊密合作，以發(fā)現(xiàn)可能受到勒索軟件影響的所有重要資產(chǎn)以及用以傳播惡意軟件的所有網(wǎng)絡(luò)協(xié)議。這些團隊還要合作進行業(yè)務(wù)影響評估，以評估勒索軟件的潛在影響。安全性還要與法律，隱私，重要客戶和執(zhí)法機構(gòu)進行協(xié)調(diào)，以確保技術(shù)的自治層面與法律和隱私義務(wù)保持一致。

 

Aissi表示，該程序已將安全運營效率提高了大約35%，并導(dǎo)致對威脅的早期發(fā)現(xiàn)能力提高了約10倍，它還使解決新威脅的速度提高了約60%。

 

Aissi給試圖啟動威脅搜尋程序的其他安全專業(yè)人員提了個建議，那就是采取戰(zhàn)略性的，長期的觀點。

 

Aissi說：“自主威脅搜尋絕非短期內(nèi)想啟用就啟用的東西。這需要人們進行大量的規(guī)劃，需要進行大量人員和工具方面的培訓(xùn)，需要大量的明確的服務(wù)水平協(xié)議，投資，集成和自動化。”

 

Aissi還強調(diào)說，你必須先建立強大的威脅情報功能，然后才能進行威脅搜尋。最后，他說，請確保你與公司中的其他利益相關(guān)者協(xié)調(diào)該程序。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。