對于許多企業的安全運營中心團隊來說,防御網絡攻擊在很大程度上是被動的措施,因為他們面臨著日益復雜的威脅和不斷擴大的攻擊面,這些威脅來自遠程工作和大量云計算應用程序,這些應用程序為未經授權的用戶提供了無數的系統訪問點。
對安全事件做出迅速而徹底的響應是關鍵,了解事件發生的方式、時間和原因的大局也很重要。對網絡威脅作出反應而不從整體上防御可能會陷入無限的惡性循環中,在這種情況下,遏制安全威脅只是為了等待網絡攻擊者再次利用相同的網絡攻擊方法。
不幸的是,當企業開始遏制網絡威脅時,其行為可能會為威脅行為者敲響警鐘,促進他們加快網絡攻擊或改變技術。因此,安全運營中心團隊分析網絡威脅事件發生的方式、時間和原因至關重要。
網絡威脅情報的重要性
網絡威脅情報包含有關網絡攻擊者的戰術、技術和程序的信息,它使企業能夠對其網絡安全計劃做出更明智和數據驅動的決策,從而推動更成功地保護和檢測,并應對當今的網絡攻擊。
正如調研機構Gartner公司所確認的那樣,“基于證據的知識,包括背景、機制、指標、影響以及關于現有或正在出現的資產威脅或危害的可操作建議……可用于告知有關主體對該威脅或危害的反應的決策。”
網絡威脅情報可以幫助企業識別盲點,為安全運營中心團隊提供有關威脅形勢的寶貴見解,最終使他們能夠降低風險。通過應用威脅情報來識別和理解網絡攻擊者與其TTP之間的關系,安全分析師需要針對其特定環境采取更有效的主動措施。
當今企業面臨的威脅情報挑戰
網絡威脅形勢如今不斷發展,諸如針對Colonial輸油管道的DarkSide勒索軟件活動(導致美國石油公司的管道關閉并支付約500萬美元的贖金)和SUNBURST(導致SolarWinds公司數據泄露的惡意軟件變種)等網絡攻擊事件泄露了30000多個公共和私人組織的數據,這只是網絡攻擊事件的冰山一角。
近年來,為了更好地應對出現的網絡威脅并采取明智的行動,許多企業都試圖利用網絡威脅情報。然而在實踐中,安全運營中心團隊往往看不到切實的結果。根據信息安全論壇的研究,其82%的成員擁有網絡威脅情報的能力,其余18%的成員正在計劃實施,但只有25%的成員認為他們達到了預期目標。
這主要是由于網絡威脅情報的常見缺陷,例如無法有效處理、關聯和分析數據,因為信號和遙測數據量巨大,在遠程點收集測量值或其他信息,并自動傳輸到接收設備。大多數威脅情報解決方案在很大程度上依賴于人為干預來整合、解析、豐富和驗證數據,他們的分析可能過于關注網絡攻擊者是誰,而不是如何補救和采取應對行動。
另一個問題是威脅情報來源通常是孤立的,安全運營中心團隊缺乏正確的技術和流程來連接和關聯他們的數據以獲得更完整的信息。因此,實施網絡威脅情報變得既昂貴又耗時,安全人員致力于將有意義的洞察與無用的信息區分開來。
利用人工智能獲取威脅情報
隨著安全事件隊列的不斷增長,“平均檢測時間”(MTTD)和“平均響應時間”(MTTR)等響應時間指標也在上升,這一點也不足為奇。鑒于執行這些類型的深入分析的最大障礙之一是時間和資源,關鍵問題是企業如何獲取和評估他們需要的情報,而不會給已經超負荷工作的安全團隊增加更多的工作。
實現網絡威脅情報全部價值的最有效方法之一是將人工智能與人類智能結合起來。這樣做可以解決兩個主要問題:需要人工處理的數據量以及人工關聯和場景數據所需的時間。
通過利用人工智能驅動的自主安全工具,安全專業人員可以減少他們以前完成的大量勞動密集型工作。這些人工智能驅動的平臺可以執行TTP分析并大規模實時關聯傳入的威脅。
一些平臺甚至提供了一個控制臺,安全運營中心團隊可以從中調查特定事件,訪問有關威脅首次出現的時間、最后一次出現的時間以及數據泄露范圍的信息。此類平臺還可以快速識別威脅類型(例如勒索軟件活動),甚至可以深入了解網絡攻擊者的每個步驟如何映射到MITRE ATT&CK框架的TTP,這是一個全球可訪問的網絡攻擊者策略知識庫和基于現實經驗的技術,可以開發眾包網絡安全防御措施。
結論
網絡攻擊者正在采用新穎且日益復雜的技術來滲透和攻擊網絡和系統,而當今的大多數安全團隊都不堪重負,無法對其所有事件調查進行深入且有意義的分析。但是在人工智能驅動的自主工具的幫助下,安全運營中心團隊現在可以大規模訪問實時威脅建模、事件關聯和TTP分析,使威脅分析師能夠做出明智的、具有數據支持的決策。人工智能和人類智能的這種結合為網絡數據提供了場景、豐富性和可操作性,并使企業能夠采取更加自動化和主動的防御方法和措施——不僅跟上網絡攻擊者的發展步伐,甚至領先一步。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號