威脅情報，設(shè)備之外的安全能力

2017-03-11 01:58:41

網(wǎng)絡(luò)安全和信息化 2017年11期

網(wǎng)絡(luò)攻擊手法日趨純熟及精密并具破壞性。從網(wǎng)絡(luò)安全商角度來看，為眾多每天受到攻擊的單位解決問題成為日益嚴(yán)峻的挑戰(zhàn)。

除硬件安全設(shè)備以外，一些看不見的安全能力，無疑也是網(wǎng)絡(luò)安全防御中不可或缺的，這就是威脅情報。

獲得即時及準(zhǔn)確預(yù)測威脅情報比所想困難，背后需要一個強(qiáng)大的研發(fā)部門，包括以下幾個重要組成部分：

1.分而治之。利用傳統(tǒng)手法打擊網(wǎng)絡(luò)犯罪分子已經(jīng)沒有效果。根據(jù)筆者經(jīng)驗，有效威脅研究部門應(yīng)由多個小隊組成，而每個團(tuán)隊都會專注于特定類型的威脅。這樣可以重點提升專業(yè)水平和競爭能力，從而提升效率并識別更多威脅，縮短客戶面對威脅的時間。

2.保持團(tuán)隊靈活性。威脅研究團(tuán)隊必須靈活應(yīng)對。網(wǎng)絡(luò)威脅變化只需一天、數(shù)小時甚至數(shù)分鐘。團(tuán)隊必須能夠調(diào)整自己的優(yōu)先次序，集中注意力。比如，F(xiàn)ortinet會根據(jù)威脅形勢演變預(yù)測更新研究計劃。在確定新方向后，挑選最適合的研究人員加入指定團(tuán)隊，深入評估新出現(xiàn)的威脅。最近威脅例子包括物聯(lián)網(wǎng)、勒索軟件和自主惡意軟件。

3.綜觀全局。單位應(yīng)鼓勵研究人員大處著眼按其興趣工作，即使其興趣范疇與公司產(chǎn)品沒有直接聯(lián)系。例如，物聯(lián)網(wǎng)漏洞研究可以加深單位安全供應(yīng)商對威脅環(huán)境趨勢的影響。

4.提升直覺力。研究團(tuán)隊的領(lǐng)隊必須培訓(xùn)其團(tuán)隊對威脅識別的敏銳度，以確保攻擊在發(fā)生前已經(jīng)可以辨識該潛在威脅。例如Mirai僵尸網(wǎng)絡(luò)入侵物聯(lián)網(wǎng)，專業(yè)網(wǎng)絡(luò)威脅研究員已于多年間作出物聯(lián)網(wǎng)漏洞將是下一個重大威脅警告。威脅發(fā)展迅速和多變，如果網(wǎng)絡(luò)安全商在安全研究上滯后，客戶的網(wǎng)絡(luò)就會受到威脅。

5.收集數(shù)據(jù)。威脅研究團(tuán)隊獲得越多數(shù)據(jù)，研究成果就越顯著。如Fortinet除了利用遍布全球的300萬個感應(yīng)器外，還會積極地透過網(wǎng)絡(luò)威脅聯(lián)盟(Cyber Threat Alliance)與國際刑警組織(INTERPOL)、KISA及其他網(wǎng)絡(luò)安全商交換威脅情報。

6.研究技術(shù)的投入。有效的研究團(tuán)隊需要先進(jìn)工具協(xié)助分析每秒接收的龐大數(shù)據(jù)。雖然現(xiàn)時我們有內(nèi)容模式識別語言(CPRLs：Content Patteren Recognition Languages)，幫助識別成千上萬的當(dāng)前、未來病毒變體。在不久的將來，我們將會依靠大數(shù)據(jù)分析和人工智能(AI)等技術(shù)進(jìn)行分析，AI 將幫助網(wǎng)絡(luò)安全不斷適應(yīng)持續(xù)增長的攻擊面。未來，一套成熟的人工智能系能夠自動完成這些復(fù)雜的決策。

無論AI發(fā)展得多先進(jìn)，甚至全自動化，讓機(jī)器自行作出所有決定的也是不可能的，人為干預(yù)仍是必需的。大數(shù)據(jù)和分析平臺可以預(yù)測惡意軟件的發(fā)展，卻不能防止惡意軟件突變。

基本上惡意軟件會隨著互聯(lián)網(wǎng)的發(fā)展，及技術(shù)應(yīng)用演變。例如，如果在未來幾年，無人駕駛車和可攜式物聯(lián)網(wǎng)裝置被廣泛使用，網(wǎng)絡(luò)犯罪分子將會一如既往地尋找方法攻擊這些汽車和設(shè)備。同樣地，如果加密貨幣在今年內(nèi)繼續(xù)維持高利率水平，將會吸引黑客入侵。

自動化概念為網(wǎng)絡(luò)犯罪分子開拓很多新可能性，對單位威脅加劇。由于黑客在惡意軟件中加強(qiáng)其自動化攻擊能力，這些程序化設(shè)計不但加快攻擊速度，還縮短從發(fā)動攻擊到造成損害之間的時間，同時具有避開偵測的能力。單位需要在分布式網(wǎng)絡(luò)生態(tài)系統(tǒng)中，從物聯(lián)網(wǎng)到云端層面，透過協(xié)調(diào)一致的方式進(jìn)行實時回應(yīng)。現(xiàn)時未有太多單位有能力作出如此措施，這正是IT總監(jiān)們應(yīng)該開始著手改善的事情。