在去年召開的RSA安全大會上，各類規(guī)模的企業(yè)都開始認(rèn)識到高層員工與間諜機構(gòu)之間關(guān)聯(lián)是前所未有。來自“威脅情報”以及端點保護等領(lǐng)域的初創(chuàng)企業(yè)則大力宣傳其高管團隊在RSA當(dāng)中以先驅(qū)身份探討先進威脅與攻擊活動來源的出身背景。

然而，無論是在RSA安全大會還是其它活動平臺之上，2014年給我們留下深刻印象的仍然是網(wǎng)絡(luò)安全人才極度匱乏所導(dǎo)致的被動局面。在此期間，尋找在識別與分析復(fù)雜網(wǎng)絡(luò)威脅領(lǐng)域擁有豐富經(jīng)驗的專家已經(jīng)成為一項幾乎令人絕望的任務(wù)。而將他們真正拉入自家麾下則更是難上加難，事實上只有極少數(shù)企業(yè)有能力在內(nèi)部體系當(dāng)中負擔(dān)起構(gòu)建網(wǎng)絡(luò)法務(wù)專家團隊所帶來的高昂成本。

在思科2014年年度安全報告當(dāng)中，思科發(fā)現(xiàn)全球范圍內(nèi)安全專家人才缺口已經(jīng)超過一百萬，而這一現(xiàn)狀直接導(dǎo)致復(fù)雜及隱蔽性安全違規(guī)問題難以得到解決。報告強調(diào)，大多數(shù)企業(yè)及機構(gòu)都不具備必要的人才或者系統(tǒng)方案，從而對擴展網(wǎng)絡(luò)進行持續(xù)性監(jiān)控，更談不到隨后需要實現(xiàn)的及時且有效的入侵檢測以及保護機制部署。

Securosis公司分析師Mike Rothman指出，“我所聽到的、被提及最多的問題就是‘我們找不到合適的人選，’而且這里所說的還僅僅是那些有能力配置IPS(即入侵防御系統(tǒng))設(shè)備、而非惡意軟件分析人才，”

而在解決這一問題的過程中，業(yè)界開始越來越多地將云方案擺在首要方案這一重要地位之上。最近幾年里，以CrowdStrike公司為代表的相關(guān)企業(yè)開始逐步崛起，嘗試將端點與網(wǎng)絡(luò)行為監(jiān)控所獲得的“違規(guī)指標(biāo)”同托管在云環(huán)境當(dāng)中的數(shù)據(jù)分析服務(wù)結(jié)合在一起。

這種處理方式擁有獨特的優(yōu)勢——特別是在IT環(huán)境正變得愈發(fā)開放，其中用戶行為已經(jīng)不再局限于被保護在企業(yè)防火墻之后的特定端點集合當(dāng)中。但威脅情報服務(wù)卻也存在著自己的短板，其主要表現(xiàn)在威脅緩和領(lǐng)域。安全專家們指出，要想切實完成威脅緩和這一既定目標(biāo)，最具實際意義的作法在于將同環(huán)境本身相關(guān)的背景信息同樣納入保護當(dāng)中。

“在威脅情報的演變過程中，出現(xiàn)了一系列相當(dāng)值得關(guān)注的創(chuàng)新性成果，”Co3 Systems公司首席營銷官Ted Julian指出。“但只有在大家將其加以實際運用之后，此類成果才能夠切實發(fā)揮作用。其實際運用絕非易事，我們需要為其儲備完全不同于以往的技能組合。”

Co3公司打造出一套基于Web的軟件平臺，允許企業(yè)客戶從中獲取威脅情報并將其輸入到其它安全工具——例如安全信息管理工具——當(dāng)中，進而創(chuàng)建出一套高度適合本公司實際情況、且包含詳盡細節(jié)的響應(yīng)規(guī)劃。

其它多家安全企業(yè)則解決了“緊急事件響應(yīng)”當(dāng)中的其它一些重要組成部分。此類新型解決方案——大家不妨將其稱為“情報活動即服務(wù)”——通常是將一部分網(wǎng)絡(luò)與端點監(jiān)控同基于云的管理平臺相結(jié)合，從而對來自其它客戶及第三方威脅情報機構(gòu)的匯總數(shù)據(jù)進行整理與分析。這方面的倡導(dǎo)者認(rèn)為，上述新型服務(wù)能夠成為解決網(wǎng)絡(luò)人才嚴(yán)重短缺難題的一種行之有效的辦法。

其中端點安全企業(yè)FireEye就是在推動“情報活動即服務(wù)”模式方面表現(xiàn)最為突出的安全廠商之一。該公司近來又傳出大新聞，宣稱其已經(jīng)以10億美元價碼收購了托管安全服務(wù)企業(yè)Mandiant。Mandiant公司的成名之作在于其所謂“先進持續(xù)性威脅”(簡稱APT)解決方案，目前已經(jīng)有眾多政府機關(guān)及其它高知名度企業(yè)加入其客戶陣營。

2014年年初，F(xiàn)ireEye公司披露了一項托管安全服務(wù)，即FireEye Security Platform。這套方案將基于端點與網(wǎng)絡(luò)的保護機制與基于云的“監(jiān)控與保護服務(wù)”加以結(jié)合，根據(jù)FireEye公司安全分析師的說法，其將“主動識別惡意活動，從而在此類攻擊起效之前搶先將其揪出并予以阻止。”

但陸續(xù)涌入這一領(lǐng)域的小型初創(chuàng)企業(yè)同樣不在少數(shù)。來自IT風(fēng)險管理企業(yè)Rook Consulting公司(總部位于印第安納州波利斯市)的J.J. Thompson就指出，他已經(jīng)在最近幾個月當(dāng)中親眼見證了其企業(yè)的迅猛發(fā)展，即由原本提供量身定制咨詢服務(wù)的廠商轉(zhuǎn)變?yōu)楦咭?guī)范性且以惡意活動及緊急事件響應(yīng)為核心的標(biāo)準(zhǔn)化端點監(jiān)控方案供應(yīng)商。

Rook公司的客戶——其中大部分屬于大型企業(yè)——普遍不具備充足的人力或者專業(yè)知識，因此沒辦法憑借自身力量對其網(wǎng)絡(luò)當(dāng)中的惡意軟件進行復(fù)雜程度較高的精密調(diào)查，Thompson解釋道。

來自馬薩諸塞州坎布里奇市的Cybereason公司則是另一家極具發(fā)展?jié)摿Φ南嚓P(guān)企業(yè)，他們承諾利用所謂“邊防”機制幫助客戶應(yīng)對那些可能在違規(guī)網(wǎng)絡(luò)當(dāng)中擁有數(shù)日、數(shù)周乃至數(shù)月潛伏周期的安全威脅。

Cybereason公司創(chuàng)立于2014年年初，其領(lǐng)導(dǎo)者Lior Div原本曾供職于以色列情報機構(gòu)。根據(jù)他的說法，目前市場上的大部分網(wǎng)絡(luò)安全產(chǎn)品都將關(guān)注重點放在了攻擊活動的早期階段——即攻擊者嘗試突破企業(yè)防御體系——或者攻擊活動的最終階段——即攻擊者嘗試獲取敏感性數(shù)據(jù)。

與此相反，Cybereason公司的著眼點在于了解整個“malop”(即惡意操作)流程，即利用輕量級端點代理機制對端點進行持續(xù)性監(jiān)控。由此收集到的數(shù)據(jù)會被傳送回Cybereason基于云的平臺當(dāng)中，Div解釋稱，該公司就在這里利用其專利數(shù)據(jù)分析技術(shù)以及高素質(zhì)專家及反惡意軟件工程師資源對其加以解剖——其中很多技術(shù)人才(包括Div本人在內(nèi))都在以色列國防軍(簡稱IDF)中接受過訓(xùn)練。

除此之外，建立于2014年2月18日的Cyphort公司同樣憑借著出色的工具方案博得了廣泛關(guān)注，其產(chǎn)品將多平臺威脅檢測與機器學(xué)習(xí)技術(shù)加以融合、同時引入了其它一些相關(guān)工具，旨在幫助安全團隊識別攻擊活動并解決衍生問題。該公司CTO Ali Golshan指出，Cyphort的大部分現(xiàn)有客戶都已經(jīng)擁有FireEye提供的技術(shù)方案，但他們?nèi)匀黄惹行枰私怅P(guān)于攻擊活動的更多背景信息——例如其到底屬于騷擾性軟件還是數(shù)據(jù)竊取木馬——并渴望獲得威脅消除工作的具體說明與指導(dǎo)。

托管網(wǎng)絡(luò)取證與緊急事件響應(yīng)方案的出現(xiàn)則標(biāo)志著安全情報工作已經(jīng)開始步入向云平臺邁進的全新發(fā)展階段，451集團分析師Wendy Nather如是說。

在某些情況下，此類服務(wù)可以被看作是現(xiàn)有安全管理服務(wù)的擴展或者是由云服務(wù)供應(yīng)商向其客戶提供的各類臨時性應(yīng)對手段的具體表現(xiàn)形式。“像Rackspace這樣的企業(yè)一直都在為客戶提供不間斷的緊急事件響應(yīng)機制，”Nather表示。“雖然此類機制并不屬于服務(wù)合約當(dāng)中的規(guī)定項目，但上述廠商仍然堅持肩負起此類任務(wù)、因為客戶自身根本沒有能力親手完成這些工作。”

Nather同時指出，托管緊急事件響應(yīng)服務(wù)雖然擁有明確的受眾群體，但其發(fā)展過程中也必然面臨著諸多挑戰(zhàn)。首先，此類服務(wù)在規(guī)模化方面存在著難以逾越的障礙。此外，盡管幾乎每一家遭遇過攻擊活動的企業(yè)都希望獲得幫助以識別并消除此類威脅，但并不是所有客戶都愿意像網(wǎng)絡(luò)取證專家們那樣構(gòu)建起一套各類豐富的根本性原因分析方案。“我們要做的是弄清楚客戶到底愿意在這條路上走多遠，”她解釋稱。

不過Co3公司的Julian表示，即使是規(guī)模較小的企業(yè)也同樣需要工具方案來幫助自身全面了解安全事件的后果以及由此給一家公司帶來的確切影響。“我們這個行業(yè)往往會將注意力集中在端點及惡意軟件層面，但即使是小型企業(yè)也需要明確掌握安全威脅的來龍去脈，”Julian總結(jié)道。