威胁情报:知识就是力量

简介: 本文讲的是威胁情报:知识就是力量,多年来,机构和企业已经在各种各样的安全解决方案上投资巨大。

image

本文讲的是 威胁情报:知识就是力量,多年来,机构和企业已经在各种各样的安全解决方案上投资巨大。因此弄清楚已经在安全技术上做了哪些投资是十分重要的,这样才能看清这些安全技术所带来的益处以及可能面临的挑战。
最初的重点应该是在防火墙和入侵检测系统(IDS)上进行投入来保证外围安全,另外还要通过投资反病毒解决方案保证终端安全,保护用户群。

防火墙和IDS的问题在于它们需要持续的更新和大量的人工干预,而且对未知或零日攻击视而不见。反病毒解决方案和定期扫描的问题在于它们通常漏报那些隐藏属性的恶意软件威胁。尽管这些技术依然是公司安全套装中不可或缺的部分,它们的焦点却往往放在已知攻击上而对新型或未知攻击毫无办法。

接下来是在安全信息和事件管理(SEM/SIM/SIEM)解决方案上的大量投资。这些解决方案中直到今天都依然存在的问题是:由于缺乏定义良好的流程和训练有素的支持人员,用户根本没准备好大规模部署这些解决方案。大海捞针一直是SIEM解决方案的主要症结。而且,SIEM只在报告设备/系统的审计和日志级别表现良好。

这些系统同样需要人工干预才能保持更新,而且同样缺乏对可能影响SIEM价值的新兴威胁的可见性。公司企业现在认识到SIEM缺乏外围防御和反馈日志,也已经开始投资专注于事后处理的解决方案。

当关注焦点转移到事后处理上时,拥有取证能力就显得十分重要了,而且也必须清楚需要哪些额外的数据才能回答情况到底有多么糟糕这样的问题。客户现在会提的问题都是诸如“我是怎样被攻击的”、“什么时候被攻击的”、“现在攻击还在继续吗”,以及最重要的“谁攻击了我”之类的。

很多事后处理解决方案的重点都在高级持续性威胁上(APT)。这些解决方案关注高级有针对性的攻击和高级恶意软件。高级攻击可以规避传统基于签名的解决方案(上面提及的那些),因为这些解决方案需要人工干预(“人”的问题)才能保持最新状态,且只有当威胁是已知的时候才有效。

近些年客户开始实现的高级威胁解决方案例子之一,是网络取证完整数据包捕获(FPC)解决方案。过去几年中,实现此类解决方案的目的,是试图通过捕获进出网络的每个数据包并进行深度数据包分析来对抗高级持续性威胁。这些解决方案非常棒,但若要利用数据同时进行实时防护和取证分析,将会占用大量存储空间。

另外,FPC解决方案需要分析员深入了解他们的网络环境,建立已知安全事件的基准线,并且保证该基准线在新威胁出现时得到更新。分析员还需要能够识别那些可以提示他们出现了未知威胁、高级针对性攻击及其所用各种技术的攻击指示器。

另一个客户投资的高级威胁解决方案的例子是通常包含了沙盒/模拟技术的高级恶意软件检测解决方案。这些方案可以处理大量数据,一旦出现未知事物便发送到沙盒环境进行进一步分析。当然,这些解决方案也不是毫无弱点的,分析员必须等待分析结果出来才能采取行动。而且,模拟环境中发现的东西也不保证就能直接映射到生产环境中。此外,支持这些解决方案的威胁情报严重依赖于从厂商的安装基数中收集到的样本量。

成功的技术部署应该围绕人、流程和技术之间的平衡。很多案例中,客户多年来面对的问题都是围绕人和流程的。

在过去,企业一直致力于拥有足够的人手和合适的流程来确保数据泄露发生时的平均补救时间尽可能短。很多这类安全解决方案都需要专职资源来保养和维护每一个解决方案。考虑到不断变化的威胁情况和实施事后取证的需要,公司往往必须持续对其安全团队的培训进行投入。

培训安全团队的另一种方式是通过加入威胁情报来增强威胁识别率。在真正造成侵害之前收到潜在威胁的早期迹象是保持安全团队提高警醒度的另一种方法。自动化实时威胁情报可以帮助缩短识别潜在威胁的时间,还有可能最小化安全事件的发生频率。

考虑到迄今为止客户在安全解决方案上的投入,在方案组合中加入威胁情报是合乎逻辑的下一步计划。实时威胁情报能为安全团队提供潜在威胁的关键信息,还能提供安全团队需要优先关注的某些更有针对性攻击背后的深入分析和动机解析。

部署一个解决方案就可以坐等威胁警报再开始事件响应的日子已经一去不复返。公司企业需要采取积极主动的方式进行事件响应。

通过在已有流程中添加威胁情报可以改善监控效果,一旦威胁情报数据源确认可信,那些数据便可用于实施积极内联阻塞以在损害发生之前就捕获潜在威胁。

原文发布时间为:六月 1, 2015
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/7938.html

相关文章
|
17天前
|
人工智能 安全 网络安全
|
1月前
|
安全 网络安全 数据安全/隐私保护
数字时代的守护者:网络安全与信息安全的深度剖析
【9月更文挑战第30天】在数字化浪潮中,网络安全与信息安全成为我们不可忽视的盾牌。本文将深入探讨网络安全漏洞的形成、加密技术的应用以及提升安全意识的重要性,旨在为读者提供一套全面的网络安全知识体系。通过分析最新的网络攻击案例,我们将揭示防御策略和最佳实践,帮助个人和企业构筑坚固的数字防线。
40 6
|
3月前
|
监控 安全 网络安全
数字时代的守护者:网络安全与信息安全的深度解析
【8月更文挑战第22天】在数字化浪潮不断推进的今天,网络安全和信息安全成为了我们不可忽视的重要课题。本文将深入探讨网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者更好地理解和应对网络安全威胁,保护个人信息和企业数据的安全。
|
2月前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的前沿知识
在数字化浪潮中,网络安全与信息安全的重要性日益凸显。本文旨在深入探讨网络安全漏洞、加密技术及提升安全意识等关键领域,以期为读者提供防范网络威胁的有效策略。通过分析最新研究和技术应用,我们揭示了保护个人和组织数据安全的方法,强调了在不断变化的网络环境中保持警觉的必要性。
37 0
|
3月前
|
人工智能 安全 算法
数字时代的守护者:网络安全与信息安全的前沿探索
在数字化浪潮席卷全球的今天,网络安全与信息安全成为维护个人隐私、企业利益和国家安全的重要屏障。本文将深入探讨网络安全领域的常见漏洞、先进的加密技术以及提升安全意识的重要性,旨在为读者提供一份全面的网络安全知识图谱。从网络攻击的演变到防御策略的创新,我们将一同见证这场没有硝烟的战争如何塑造我们的未来。
|
3月前
|
人工智能 安全 网络安全
AI和情景威胁情报正在重塑防御战略
AI和情景威胁情报正在重塑防御战略
|
6月前
|
SQL 安全 算法
网络安全与信息安全:防御前线的关键技术与意识
【5月更文挑战第31天】在数字化时代,网络安全与信息安全成为维护信息完整性、确保数据流通安全的重要领域。本文将深入探讨网络安全漏洞的概念、加密技术的应用以及提升个人和企业的安全意识的重要性。通过对这些关键领域的分析,旨在为读者提供一套综合性的网络与信息安全策略框架,以应对日益复杂的网络威胁环境。
31 1
|
6月前
|
SQL 监控 安全
网络安全与信息安全:防御前线的关键技术与意识提升
【5月更文挑战第26天】随着信息技术的迅猛发展,网络安全和信息安全面临前所未有的挑战。本文深入探讨了网络安全漏洞的成因、加密技术的最新进展以及提升个人和企业安全意识的重要性。通过对网络攻防技术的剖析,揭示了安全防护的关键所在,并提出了综合性的安全策略建议。文章目的在于为读者提供一套全面的信息安全防护框架,以应对不断演变的网络威胁。
|
6月前
|
安全 算法 网络安全
网络安全与信息安全:防御前线的关键技术与意识强化
【5月更文挑战第29天】在数字化时代的浪潮中,网络安全与信息安全已成为维护社会稳定、保障个人隐私和公司商业秘密的重要屏障。本文将深入探讨网络安全漏洞的成因、加密技术的最新进展以及提升安全意识的必要性。通过对网络威胁的分析,我们揭示了安全防护体系中存在的薄弱环节,并提出了相应的防护策略。同时,文中还将介绍加密技术的基本原理及其在数据保护中的应用实例,旨在帮助读者构建更为坚固的信息防线。最后,文章强调了培养全民网络安全意识的重要性,以期形成人人参与的网络安全防护网。
|
6月前
|
SQL 监控 安全
网络安全与信息安全:防御前线的构筑之道
【5月更文挑战第29天】在数字时代的浪潮中,数据成为了新的石油,而网络安全则是保护这些宝贵资源不被非法开采的关键。本文将深入探讨网络安全漏洞的成因、加密技术的最新发展以及提升个人和企业安全意识的重要性。通过分析当前网络威胁的复杂性,我们揭示了构建坚固防线的必要性,并提供了实用的策略和建议,以增强信息资产的保护。