在本文中,專家Kevin Beaver將探討企業(yè)如何學習Facebook的ThreatData框架安全分析來加強企業(yè)防御。
自成立以來,F(xiàn)acebook一直是網(wǎng)絡攻擊的目標。他們積極抵御惡意軟件和防止欺詐,并且他們在這方面的努力經(jīng)常見諸報端。然而,可以很公平地說,F(xiàn)acebook面臨的實際威脅更加嚴峻。
當面對威脅時,知識就是力量。很多企業(yè)都認識到威脅分析和安全分析的重要性,它們不僅可以幫助阻止當前威脅,還可以提高事件響應。最近,F(xiàn)acebook宣布通過其ThreatData框架進軍大數(shù)據(jù)安全分析領域。
在本文中,我們將討論什么是ThreatData框架,它是如何工作的以及為什么企業(yè)應該知道它的存在,還有信息安全專業(yè)人員可以從中學到什么來更好地管理企業(yè)面臨的威脅。
ThreatData框架內部
對于ThreatData,F(xiàn)acebook聲稱它能夠快速收集、處理和分析大量數(shù)據(jù),以及時對出現(xiàn)的威脅作出反應。
這個大數(shù)據(jù)安全分析框架包括三個主要部分:
數(shù)據(jù)收集:這是從Facebook內部和外部的各種來源收集的各種格式的數(shù)據(jù)(被稱為ThreatDatum),這些來源包括VirusTotal、Web瀏覽器擴展和專門從事這種數(shù)據(jù)收集的安全供應商。
數(shù)據(jù)存儲:這些是存儲數(shù)據(jù)和提取威脅情報的庫,被稱為“Hive”或者“Scuba”。
實時響應:這是Facebook對威脅的響應,其中包括URL阻止和安全信息及事件管理(SIEM)集成。
從本質上講,ThreatData對互聯(lián)網(wǎng)正在發(fā)生的惡意活動提供了更全面和更大的可視性。這些發(fā)現(xiàn)和檢測功能正是大多數(shù)企業(yè)的信息安全計劃中缺乏的功能。與SIEM的優(yōu)勢類似,這種詳細程度允許信息安全專業(yè)人員能夠看到更大的視圖,而不是更為典型的對產(chǎn)品或功能孤島的安全管理。
ThreatData框架對一般企業(yè)意味著什么
那么,為什么這會有用呢,特別是對于與Facebook不怎么相關的企業(yè)?
ThreatData框架是創(chuàng)新框架類型的模型,高風險企業(yè)正在部署這種框架來解決已知和新出現(xiàn)的安全威脅,并且,這可能為一般企業(yè)提供很多經(jīng)驗教訓。
雖然大多數(shù)企業(yè)沒有Facebook那樣的安全資源,但該框架的很多威脅情報“功能”并不需要大量資源,企業(yè)可以利用最新釣魚網(wǎng)站上的信息、互聯(lián)網(wǎng)中的惡意軟件以及應對這些威脅的相關趨勢。
[page]
另外,企業(yè)可以外包部分(如果不是全部)這些功能到很多第三方供應商(例如Dell SecureWorks和Alert Logic),包括對企圖攻擊、已知網(wǎng)絡惡意軟件感染以及需要注意的行為和簽名發(fā)出警報,包括實時修復Web應用防火墻等技術。
在很多企業(yè),特別是中小企業(yè),負責安全的人員通常不知道在特定時間事物所處的位置。即使企業(yè)選擇外包這些服務,他們通常沒有足夠的人力或者利基安全專業(yè)技術來及時合理地管理這些威脅,更不用說響應威脅。但是,企業(yè)仍然有機會來獲得對企業(yè)環(huán)境的控制權。
企業(yè)防御的真相
雖然了解敵人很重要,但這并不夠。很多企業(yè)忘記信息風險由威脅和漏洞組成。企業(yè)永遠無法真正消除威脅,不過這沒關系,畢竟,如果企業(yè)不存在涉及補丁、密碼和保護不當信息的漏洞,這些威脅還何以構成風險呢?
每周我們都會看到有關“重要新威脅”的頭條新聞以及關于“你現(xiàn)在必須抵御的威脅”的聳人聽聞的故事。雖然這些消息很嚇人,但大多這些問題并不需要對企業(yè)的安全做法做出重大改變。來自Verizon、Trustwave等的研究顯示,攻擊者通常會瞄準來自微軟、甲骨文、Adobe和思科的最常見的更新產(chǎn)品中的基本的(和可修復的)漏洞,這些是企業(yè)必須首先解決的問題。
企業(yè)必須優(yōu)先完成這些工作。大多數(shù)企業(yè)不需要新的工作目標;目標幾乎總是在他們眼前。企業(yè)不應該對相同的老問題投入金錢、人力資源和新技術,企業(yè)首先需要糾正導致問題的情況。如果企業(yè)不解決這些問題,無論他們部署任何威脅情報框架來獲取情報,都無法解決根本問題。
這并不是說Facebook的ThreatData框架不會為其業(yè)務增值,或者從長遠來看幫助那些利用或允許Facebook訪問的企業(yè)。但這對 Facebook的用戶群肯定是好的。這種系統(tǒng)并不會對企業(yè)安全團隊正試圖完成的任務帶來影響。企業(yè)作出的每個安全決策都需要考慮關于現(xiàn)有和新威脅的全面而詳細的信息,例如ThreatData框架提供的信息。此外,有些安全漏洞不受企業(yè)的直接控制,例如零日漏洞和Android中的無數(shù)漏洞。
企業(yè)需要明智地選擇其安全做法。ThreatData框架等大數(shù)據(jù)技術并不能解決企業(yè)所有的安全問題,但它們肯定可以補充企業(yè)的安全方案,甚至能夠為面臨高級威脅的企業(yè)提供價值。企業(yè)能做的最好事情就是從ThreatData中學習經(jīng)驗。Facebook不僅有強有力的安全事件檢測和響應做法,而且他們還能夠看到更大的視圖。可以說,響應是新的檢測。這并不是在于阻止攻擊者利用所有已知漏洞,而是在于如何最小化對網(wǎng)絡的影響。Facebook的 ThreatData框架超越了傳統(tǒng)NIST和ISO-IEC安全標準,它可以作為構建更全面的方法和管理信息安全風險的基礎。
京公網(wǎng)安備 11010502049343號