美国海豹突击队有一句名言:“只有过去的日子才是轻松的日子。”
看看当前的网络安全态势,不难想象,在未来的安全工作面前,过去所谓的挑战根本就是风平浪静了。所有证据都显示,网络攻击的频度、复杂性和烈度呈指数级上升。不过,虽然必须承认网络罪犯难以对付,我们却可以开始在威胁捕捉的基础上构建主动式防御策略。
安全公司 Carbon Black 最新一期的《英国威胁报告》发现,92%的英国公司企业在过去1年里遭遇过数据泄露,其中44%被渗漏多次。82%的公司报告称数据泄露事件数量上升,其中25%表示攻击数量增幅在51%到200%之间。91%的受访公司企业认为攻击变得更加复杂。而另一项调查中,64%的事件响应人员见过二级命令与控制尝试,46%发现了反事件响应的证据。
这些数字表明,网络罪犯一直在进化,变得越来越狡猾和持久,所求也不再仅仅是突破防线即可。他们想要谋求长期利益,在公司网络中建立立足点,横向扩展,跳转到公司合作伙伴的网络中,并按他们自己的步调发起后续攻击。波耐蒙研究所对数据泄露损失的调查发现,入侵者平均可以在公司网络中驻留191天才被检测出来。
威胁捕捉:不仅仅是打地鼠
虽然难以接受,但网络罪犯已经存在于公司网络中的事实也给了安全人员不再满足于在网络边界上打地鼠式“执勤”的机会。既然敌人已经侵入,我们的眼光就要放长远,将重心转移一部分到追捕威胁上,预测潜在攻击途径,让我们的网络成为不那么容易待着不走的环境。
接受问卷调查的英国安全人员中,2/3的人表示过去一年中执行了威胁捕捉,其中91%以上的受访者证实威胁捕捉强化了他们的防御。很明显,威胁捕捉已经成为公司企业行之有效的网络安全防御战术。
有效威胁捕捉的组成部分
逆转形势,开始主动追捕威胁,需要与单纯的网络防御有所不同的思维和技术集,要求我们不仅仅是站在高高的瞭望台上俯视,而是深入暗影之中,追索恶意行为,运用所能收集到的各种鉴证情报理解对手的动机和战术,预测攻击可能发起的地方。
对英国及欧洲安全运营人员的调查显示,某些人确实是网络安全领域的天才,天生具备威胁猎手的素质。但鉴于全球网络安全人才紧缺的状况,仅靠少数天才显然是不够的(据预计,到2022年,欧洲网络安全人才缺口可能达35万人),让现有团队掌握威胁捕捉技术才是正道。只要有合适的工具,清晰明了的目标和一定的自由度,公司企业没有理由无法调动其整个安全团队进行有效威胁捕捉。
事实上,在整个公司范围内植入威胁捕捉的文化比指派个别人担负这项工作更重要。各自为战不能形成有效防御,只有共享情报,发现攻击模式,才能令公司成为网络罪犯难以攻克的堡垒。这一思想也适用于整个行业,而不仅仅局限于公司内部。网络罪犯之间的情报、工具、战术和流程共享就很棒,反观业界,竞争的存在令共享举步维艰。
数字游戏:安全开支不足网络罪犯研发投入的1/10
调查中,英国公司企业表示,安全预算的增长少得可怜——2/3的公司预计会增长10%-30%。面对不断升级的威胁态势,这点增长完全不够。虽然在预算方面哪家公司企业都很抠门,但也得认清形势,看看对手是怎么做的。
这里所指的对手就是网络罪犯,他们可是在用尽一切手段开发新的攻击方法。网络罪犯每年投入新手段研发的费用可能有上万亿美元,而全球安全支出也就960亿美元——安全开支不足网络罪犯研发投入的1/10。这是一场完全不对等的战争,所以安全事件的数量和烈度上升也就不足为奇了。假定我们的安全预算不会激增至万亿美元级别,那就得确保花在网络安全上的每一分钱都带来切实的投资回报。
投资威胁捕捉是通往战略性IT安全的有效途径。这显示出你的公司在减少网络罪犯驻留时间和控制其跳转到合作伙伴公司方面是认真的。威胁捕捉能强化防御,堵住攻击途径,所以,即便预算有限,也应该将打造威胁捕捉能力提上日程。明天未必会比今天容易,但如果今天就开始威胁捕捉,起码我们是走在正确的方向上。
Carbon Black 《英国威胁报告》:
https://www.carbonblack.com/uk-threat-report-2018/
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。