從WannaCry到NotPetya,2017年全球呈現出了新一輪的網絡威脅趨勢,一起起攻擊事件以機器速度(machine-speed)定期占據著新聞報道的頭版頭條。一般在遭遇勒索軟件攻擊之后,談論最多的話題要么是找出攻擊背后的罪魁禍首,要么是感嘆自身未能及時修復漏洞,但是現在出現了一個更亟待解決的問題:面對如此高自動化的攻擊趨勢,安全團隊不得不迅速做出響應。然而,可悲的是,作為網絡安全捍衛者,我們卻很難跟上攻擊者的步伐。
面對全球超過100萬的網絡安全專業人員技能缺口,組織如何才能實現在復雜而迅速的攻擊活動中占得先機,保持主動呢?接下來就為大家提供一些建議,以幫助您能夠在2018年運用相同的資源發揮更大的效用。
1. 讓AI挑大梁
我們正面臨嚴重的網絡安全技能短缺現狀,市場對熟練從業者的需求始終得不到滿足。公司也很難為相應的崗位找到合適的人選,但除此之外,分析師必須保持積極性——避免“警報疲勞”(alert fatigue,即對安全警報變得麻木,從而忽視或未能準確地回應這樣的警報)和“心理疲乏”(burnout,即長期從事相同的工作內容以致于感到莫名的煩躁和焦慮)。
人工智能技術不僅可以使我們現有的安全團隊更加高效,而且能夠幫助企業最大限度地解放人力,使安全團隊可以專注于更高層次的戰略性工作部署。
人工智能技術可以最大限度地減少誤報,并提醒安全團隊真正的威脅所在,從而確保您的安全團隊能夠專注于研究和修復網絡上存在的最嚴重的威脅。
此外,在當今時代,企業想要雇傭一名合適的安全分析師依然是一件很難的事,所以一定要確保其積極性,避免其產生心理上的疲乏,對工作失去熱情和參與度。
2. 招聘過程中重視創新性
現在是時候重新考慮您的招聘策略了。一般來說,大多數企業的安全團隊都是由經驗豐富的安全專家和網絡分析師組成的,他們主要使用自身累積的經驗來識別威脅指標。然而,具有人工智能技術加持的新手網絡安全專家也能夠捕捉到這些威脅,甚至是最具危害性的威脅。
最有效的安全團隊不一定是最大的或最有經驗的,但絕對是最具多樣化的——技能嫻熟的網絡專業人員、工程師、分析師以及直覺靈敏的商業思想家缺一不可。2018年,我們需要重組和訓練我們的安全團隊,配合用于捕獲和應對威脅的新型人工智能技術。
3. 了解企業內部情況
通過可識別的徽章就能順利進入辦公大樓,利用有效的密碼就能成功侵入公司網絡,不得不說,一些影響頗深的違規事件都是由“內部威脅者”引起的——然而這些又往往是最難以發現的威脅。
根據Ponemon公司最新的一項研究成果顯示,企業平均需要花費50天的時間來修復一場惡意的內部攻擊活動。但是,對于具有正確訪問級別的員工而言,卻只需要一天時間就能夠獲取到專利藥物配方、正在進行的合并項目細節或新項目的發布日期等信息,并將這些信息泄漏給競爭對手。
鑒于此,您應該認真審視自身并詢問自己一個關鍵的問題——我的堆棧中是否有可以檢測出內部威脅的工具?
企業對于自己員工的“正常”行為模式往往缺乏理解,更不用說什么流氓設備或第三方曝光。如果缺乏這方面的認知,早期的威脅指標往往只能在一片“噪聲”(威脅警報)中失去效用,讓企業產生“警報疲勞”,忽略那些本應重視的威脅,使其演變成真正的危機。
溯源性網絡防御的時代已經結束,為了準確檢測內部威脅,我們需要能夠快速識別、了解和報告存在威脅性的用戶和設備行為的團隊和技術——提醒我們的團隊更換或改變早期網絡威脅的指標。
4. 少即多:按嚴重性順序優先處理威脅
我們正在淹沒于數據之中。ESG研究發現,38%的企業會收集、處理和分析超過10TB的數據,來作為其每月安全操作的一部分。而Ovum的一份報告發現,超過三分之一的銀行每天會收到超過20萬次安全警報。
對于安全團隊而言,想要找到下一個NotPetya或WannaCry威脅指標無異于大海撈針。組織不僅需要找到這種威脅,而且需要在其造成實際損害之前找到它——換句話說,需要即時/實時的找到這些威脅。但是現在,你的團隊每天需要對20多萬條警報進行篩選,還如何能夠發現潛伏在網絡中的微妙威脅?
我們的安全團隊正面臨著一個不可逾越的難題——對數以千計在Web代理日志、反病毒日志以及SIEM日志等之間傳播的這些誤報進行分類——不幸的是,只能得到關于實際發生事件的一個不完整畫面。安全運營管理平臺(SOC)需要的最后一樣東西是另一種生成大量警報的工具。
按照嚴重程度對威脅進行可視化和優先級劃分,能夠證明“實時地發現這些威脅”與“數百天后發現這些威脅”之間的區別。根據偏離“正常”行為模式的水平,可以對真正的威脅進行優先級劃分,如此可以方便各種規模的安全團隊組織快速地調查、修復并轉移到下一個事件,從而最大限度地節省了時間也提高了工作效率。
Equifax并不是唯一一家在攻擊發生后很久才發現黑客的公司。隨著攻擊速度日益加快、黑客變得越來越聰明,我們需要創造性地進行思考,為安全團隊贏回更多時間。人工智能能夠為我們承擔很多工作,優先處理警報并自動應對輕微的威脅;而戰略招聘則可以使我們的團隊更具效率和活力。這些策略可以為我們和我們的團隊提供更多的時間,專注于優先事項和戰略舉措,使我們能夠采取更積極主動的方式進行網絡防御。
京公網安備 11010502049343號