一直以来,入侵指征(IoC)作为威胁情报的一个重要组成,在安全分析中发挥着不可替代的作用。但当前的事件响应和风险模型已经无法跟上日益复杂、且快速变化的攻击手段,从有组织的网络犯罪到国家资助的黑客,到地缘政治的紧张加剧了全球的风险态势。未来的几年内,全球的组织与机构都要进化网络威胁情报的能力,包括更加可靠、可执行、自动化的响应等能力,以应对不断快速变化升级的威胁环境。而传统的威胁情报标准模型,始终基于有着不少问题的IoC。
为了跟上这些威胁变化,组织与机构需要新一种新型威胁情报,入侵证据(EoC)。
威胁情报内容包罗万象,导致很多错误信息,IoC的问题在于数据需要分析人员梳理、提炼和确认,大大降低了情报的可执行性。但入侵证据不同,因为它只提供确认的、可执行的威胁情报。EoC不会错误,也无需分析师介入,还可快速执行。这一切都缘于EoC的数据直接来源于攻击者自己的设施,不依赖猜测和解释。EoC天然地准确,情报错误的几率几乎为零。
EoC过滤网络活动噪音
金融领域的网络安全水平一直在业界比较领先,直接入侵网络的难度很大。因而,越来越多的攻击者把目光投向围绕着金融机构的合作伙伴身上,在供应链上找容易得手的对象。于是,本来“可信的提供商”现如今成为金融机构网络安全中的最大漏洞。
普遍的状况是,大部分金融机构对自己的提供商的安全,很难有比较准确的安全度量,尤其是在一些新兴的、活跃的安全威胁面前更是如此。EoC则改变了这种状况,帮助金融机构以攻击者的角度来查看提供商的网络。
EoC要做的事情可以概况为,赋予企业对其供应链安全,审计和持续监控的能力,并将这个能力提升到前所未有的高度,甚至能够预测即将发生的入侵。EoC将会是威胁情报能力的一个大幅度提升,随着威胁场景的进化,它将在下一个十年中成长为机构必备的安全能力。
(注:IoC一般被译为入侵指标或入侵指示器,数世咨询首译为入侵指征。指征在在指标之上的,指标只是一些参数,汇集了这些参数并形成入侵判断之后,才形成指征,意味着入侵征兆和下一步行动的依据。)
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。