為了打下更積極主動的基礎,有些組織一直在采用威脅情報,這是一種安全實踐,它涉及在攻擊發生前篩選數據以發現高級持續性威脅(APT)。艾莉梅等公司提供了一個基于云端的平臺,該平臺可以處理全國約44%的抵押貸款申請,該公司進一步對威脅情報進行了更高層次的利用,其方法是利用預測分析來部署自主威脅搜尋功能。
艾莉梅的高級副總裁兼首席安全官Selim Aissi說:“威脅搜尋本質上非常主動。”“你不必等攻擊發生,你要在攻擊發生之前(甚至在惡意軟件被發現之前)就開始研究威脅,分清威脅的高低并展開調查。”
艾莉梅于兩年前甚至更早的時候就開始開發針對高級持續性威脅的自主威脅搜尋項目,以此來應對勒索軟件等威脅,Aissi稱其為任何企業中最為生死攸關且代價高昂的威脅。該項目為艾莉梅贏得了IT領域成就斐然的首席信息官百佳獎。
2019年12月,Emisoft的惡意軟件實驗室發布了一份有關《全國勒索軟件現狀》的報告,該報告發現,美國在2019年遭受了“前所未有且毫不留情的勒索軟件攻擊”,其潛在成本逾75億美元,其中包括贖金支付、數據恢復、法院調查和收益損失。
Aissi說:“本行業和類似行業所面臨的最大威脅就是勒索軟件。勒索軟件對所有公司產生了災難性影響。在SaaS類公司中,當服務中斷數日或數周時,這就是災難。”
主動應對勒索軟件
Aissi說,由于傳統的勒索軟件防護技術提供靜態威脅防護,因此它們遇到了難題,即很難跟上新出現的復雜勒索軟件技術。主動從以往的勒索軟件攻擊中學習,以此來了解新的危害指標,發現新的規避技術,然后使用這些技術。艾莉梅的自主威脅搜尋(Autonomous Threat Hunting)程序就是這么做的,該程序利用威脅情報、預測分析、人工智能以及約定俗成的危害指標(IOC)來將其引入現有的安全控制中。
有效的威脅情報程序所面臨的最大難題之一就是龐大的數據量。艾莉梅首先通過人工處理危害指標(IOC)上的數據并將這些洞察提供給各種安全工具。但是,一旦打下了這樣的基礎,Aissi及其團隊便進行了“非常積極的自動化之旅”,從而使該組織能夠及時采取行動。
Aissi說:“我們將不同來源的數據的匯總自動化,將驗證自動化,還將針對安全操作的警報自動化。這可以說是我們旅途中的大躍進。”
另一個重大步驟是:獲取行政管理層和利益相關者的支持。Aissi初期與高級行政團隊、董事會、監管機構和執行顧問委員會一一會晤。
Aissi說:“過去三年中,我已經對威脅搜尋程序進行了大量驗證。我們征集了很多與此相關的意見。我們正在執行一個明確的計劃和路線圖,但還沒有完成。”
與許多大型轉型項目一樣,變革管理也已成為必不可少的組成部分。
Aissi說:“從變革管理的角度來看,很多影響實際上是對安全運營團隊和工程團隊的影響。其中許多功能往往是手動的,安全分析人員必須去收集威脅信息并手動將這些信息錄入到各種工具中。我們必須對此進行調整并培訓安全分析人員和工程師采用這種新的自主方式。”
變革管理對Aissi而言尤為重要,因為“自主威脅搜尋”計劃并不是一個獨立的計劃。如今,它已與網絡安全組織的所有工作捆綁在一起,包括漏洞管理程序和補丁程序管理。不過,這樣做的好處是免去了手動進行的威脅搜尋任務,使安全工程師和安全分析人員可以從事其他任務,團隊也不必繼續使用只能進行靜態監視和檢測的幾種安全工具。
該項目還需要高水平的跨部門合作。安全團隊與工程,基礎設施,云端和質量保證緊密合作,以發現可能受到勒索軟件影響的所有重要資產以及用以傳播惡意軟件的所有網絡協議。這些團隊還要合作進行業務影響評估,以評估勒索軟件的潛在影響。安全性還要與法律,隱私,重要客戶和執法機構進行協調,以確保技術的自治層面與法律和隱私義務保持一致。
Aissi表示,該程序已將安全運營效率提高了大約35%,并導致對威脅的早期發現能力提高了約10倍,它還使解決新威脅的速度提高了約60%。
Aissi給試圖啟動威脅搜尋程序的其他安全專業人員提了個建議,那就是采取戰略性的,長期的觀點。
Aissi說:“自主威脅搜尋絕非短期內想啟用就啟用的東西。這需要人們進行大量的規劃,需要進行大量人員和工具方面的培訓,需要大量的明確的服務水平協議,投資,集成和自動化。”
Aissi還強調說,你必須先建立強大的威脅情報功能,然后才能進行威脅搜尋。最后,他說,請確保你與公司中的其他利益相關者協調該程序。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號