在去年召開的RSA安全大會(huì)上，各類規(guī)模的企業(yè)都開始認(rèn)識(shí)到高層員工與間諜機(jī)構(gòu)之間關(guān)聯(lián)是前所未有。來(lái)自“威脅情報(bào)”以及端點(diǎn)保護(hù)等領(lǐng)域的初創(chuàng)企業(yè)則大力宣傳其高管團(tuán)隊(duì)在RSA當(dāng)中以先驅(qū)身份探討先進(jìn)威脅與攻擊活動(dòng)來(lái)源的出身背景。

然而，無(wú)論是在RSA安全大會(huì)還是其它活動(dòng)平臺(tái)之上，2014年給我們留下深刻印象的仍然是網(wǎng)絡(luò)安全人才極度匱乏所導(dǎo)致的被動(dòng)局面。在此期間，尋找在識(shí)別與分析復(fù)雜網(wǎng)絡(luò)威脅領(lǐng)域擁有豐富經(jīng)驗(yàn)的專家已經(jīng)成為一項(xiàng)幾乎令人絕望的任務(wù)。而將他們真正拉入自家麾下則更是難上加難，事實(shí)上只有極少數(shù)企業(yè)有能力在內(nèi)部體系當(dāng)中負(fù)擔(dān)起構(gòu)建網(wǎng)絡(luò)法務(wù)專家團(tuán)隊(duì)所帶來(lái)的高昂成本。

在思科2014年年度安全報(bào)告當(dāng)中，思科發(fā)現(xiàn)全球范圍內(nèi)安全專家人才缺口已經(jīng)超過(guò)一百萬(wàn)，而這一現(xiàn)狀直接導(dǎo)致復(fù)雜及隱蔽性安全違規(guī)問(wèn)題難以得到解決。報(bào)告強(qiáng)調(diào)，大多數(shù)企業(yè)及機(jī)構(gòu)都不具備必要的人才或者系統(tǒng)方案，從而對(duì)擴(kuò)展網(wǎng)絡(luò)進(jìn)行持續(xù)性監(jiān)控，更談不到隨后需要實(shí)現(xiàn)的及時(shí)且有效的入侵檢測(cè)以及保護(hù)機(jī)制部署。

Securosis公司分析師Mike Rothman指出，“我所聽到的、被提及最多的問(wèn)題就是‘我們找不到合適的人選，’而且這里所說(shuō)的還僅僅是那些有能力配置IPS(即入侵防御系統(tǒng))設(shè)備、而非惡意軟件分析人才，”

而在解決這一問(wèn)題的過(guò)程中，業(yè)界開始越來(lái)越多地將云方案擺在首要方案這一重要地位之上。最近幾年里，以CrowdStrike公司為代表的相關(guān)企業(yè)開始逐步崛起，嘗試將端點(diǎn)與網(wǎng)絡(luò)行為監(jiān)控所獲得的“違規(guī)指標(biāo)”同托管在云環(huán)境當(dāng)中的數(shù)據(jù)分析服務(wù)結(jié)合在一起。

這種處理方式擁有獨(dú)特的優(yōu)勢(shì)——特別是在IT環(huán)境正變得愈發(fā)開放，其中用戶行為已經(jīng)不再局限于被保護(hù)在企業(yè)防火墻之后的特定端點(diǎn)集合當(dāng)中。但威脅情報(bào)服務(wù)卻也存在著自己的短板，其主要表現(xiàn)在威脅緩和領(lǐng)域。安全專家們指出，要想切實(shí)完成威脅緩和這一既定目標(biāo)，最具實(shí)際意義的作法在于將同環(huán)境本身相關(guān)的背景信息同樣納入保護(hù)當(dāng)中。

“在威脅情報(bào)的演變過(guò)程中，出現(xiàn)了一系列相當(dāng)值得關(guān)注的創(chuàng)新性成果，”Co3 Systems公司首席營(yíng)銷官Ted Julian指出。“但只有在大家將其加以實(shí)際運(yùn)用之后，此類成果才能夠切實(shí)發(fā)揮作用。其實(shí)際運(yùn)用絕非易事，我們需要為其儲(chǔ)備完全不同于以往的技能組合。”

Co3公司打造出一套基于Web的軟件平臺(tái)，允許企業(yè)客戶從中獲取威脅情報(bào)并將其輸入到其它安全工具——例如安全信息管理工具——當(dāng)中，進(jìn)而創(chuàng)建出一套高度適合本公司實(shí)際情況、且包含詳盡細(xì)節(jié)的響應(yīng)規(guī)劃。

其它多家安全企業(yè)則解決了“緊急事件響應(yīng)”當(dāng)中的其它一些重要組成部分。此類新型解決方案——大家不妨將其稱為“情報(bào)活動(dòng)即服務(wù)”——通常是將一部分網(wǎng)絡(luò)與端點(diǎn)監(jiān)控同基于云的管理平臺(tái)相結(jié)合，從而對(duì)來(lái)自其它客戶及第三方威脅情報(bào)機(jī)構(gòu)的匯總數(shù)據(jù)進(jìn)行整理與分析。這方面的倡導(dǎo)者認(rèn)為，上述新型服務(wù)能夠成為解決網(wǎng)絡(luò)人才嚴(yán)重短缺難題的一種行之有效的辦法。

其中端點(diǎn)安全企業(yè)FireEye就是在推動(dòng)“情報(bào)活動(dòng)即服務(wù)”模式方面表現(xiàn)最為突出的安全廠商之一。該公司近來(lái)又傳出大新聞，宣稱其已經(jīng)以10億美元價(jià)碼收購(gòu)了托管安全服務(wù)企業(yè)Mandiant。Mandiant公司的成名之作在于其所謂“先進(jìn)持續(xù)性威脅”(簡(jiǎn)稱APT)解決方案，目前已經(jīng)有眾多政府機(jī)關(guān)及其它高知名度企業(yè)加入其客戶陣營(yíng)。

2014年年初，F(xiàn)ireEye公司披露了一項(xiàng)托管安全服務(wù)，即FireEye Security Platform。這套方案將基于端點(diǎn)與網(wǎng)絡(luò)的保護(hù)機(jī)制與基于云的“監(jiān)控與保護(hù)服務(wù)”加以結(jié)合，根據(jù)FireEye公司安全分析師的說(shuō)法，其將“主動(dòng)識(shí)別惡意活動(dòng)，從而在此類攻擊起效之前搶先將其揪出并予以阻止。”

但陸續(xù)涌入這一領(lǐng)域的小型初創(chuàng)企業(yè)同樣不在少數(shù)。來(lái)自IT風(fēng)險(xiǎn)管理企業(yè)Rook Consulting公司(總部位于印第安納州波利斯市)的J.J. Thompson就指出，他已經(jīng)在最近幾個(gè)月當(dāng)中親眼見(jiàn)證了其企業(yè)的迅猛發(fā)展，即由原本提供量身定制咨詢服務(wù)的廠商轉(zhuǎn)變?yōu)楦咭?guī)范性且以惡意活動(dòng)及緊急事件響應(yīng)為核心的標(biāo)準(zhǔn)化端點(diǎn)監(jiān)控方案供應(yīng)商。

Rook公司的客戶——其中大部分屬于大型企業(yè)——普遍不具備充足的人力或者專業(yè)知識(shí)，因此沒(méi)辦法憑借自身力量對(duì)其網(wǎng)絡(luò)當(dāng)中的惡意軟件進(jìn)行復(fù)雜程度較高的精密調(diào)查，Thompson解釋道。

來(lái)自馬薩諸塞州坎布里奇市的Cybereason公司則是另一家極具發(fā)展?jié)摿Φ南嚓P(guān)企業(yè)，他們承諾利用所謂“邊防”機(jī)制幫助客戶應(yīng)對(duì)那些可能在違規(guī)網(wǎng)絡(luò)當(dāng)中擁有數(shù)日、數(shù)周乃至數(shù)月潛伏周期的安全威脅。

Cybereason公司創(chuàng)立于2014年年初，其領(lǐng)導(dǎo)者Lior Div原本曾供職于以色列情報(bào)機(jī)構(gòu)。根據(jù)他的說(shuō)法，目前市場(chǎng)上的大部分網(wǎng)絡(luò)安全產(chǎn)品都將關(guān)注重點(diǎn)放在了攻擊活動(dòng)的早期階段——即攻擊者嘗試突破企業(yè)防御體系——或者攻擊活動(dòng)的最終階段——即攻擊者嘗試獲取敏感性數(shù)據(jù)。

與此相反，Cybereason公司的著眼點(diǎn)在于了解整個(gè)“malop”(即惡意操作)流程，即利用輕量級(jí)端點(diǎn)代理機(jī)制對(duì)端點(diǎn)進(jìn)行持續(xù)性監(jiān)控。由此收集到的數(shù)據(jù)會(huì)被傳送回Cybereason基于云的平臺(tái)當(dāng)中，Div解釋稱，該公司就在這里利用其專利數(shù)據(jù)分析技術(shù)以及高素質(zhì)專家及反惡意軟件工程師資源對(duì)其加以解剖——其中很多技術(shù)人才(包括Div本人在內(nèi))都在以色列國(guó)防軍(簡(jiǎn)稱IDF)中接受過(guò)訓(xùn)練。

除此之外，建立于2014年2月18日的Cyphort公司同樣憑借著出色的工具方案博得了廣泛關(guān)注，其產(chǎn)品將多平臺(tái)威脅檢測(cè)與機(jī)器學(xué)習(xí)技術(shù)加以融合、同時(shí)引入了其它一些相關(guān)工具，旨在幫助安全團(tuán)隊(duì)識(shí)別攻擊活動(dòng)并解決衍生問(wèn)題。該公司CTO Ali Golshan指出，Cyphort的大部分現(xiàn)有客戶都已經(jīng)擁有FireEye提供的技術(shù)方案，但他們?nèi)匀黄惹行枰私怅P(guān)于攻擊活動(dòng)的更多背景信息——例如其到底屬于騷擾性軟件還是數(shù)據(jù)竊取木馬——并渴望獲得威脅消除工作的具體說(shuō)明與指導(dǎo)。

托管網(wǎng)絡(luò)取證與緊急事件響應(yīng)方案的出現(xiàn)則標(biāo)志著安全情報(bào)工作已經(jīng)開始步入向云平臺(tái)邁進(jìn)的全新發(fā)展階段，451集團(tuán)分析師Wendy Nather如是說(shuō)。

在某些情況下，此類服務(wù)可以被看作是現(xiàn)有安全管理服務(wù)的擴(kuò)展或者是由云服務(wù)供應(yīng)商向其客戶提供的各類臨時(shí)性應(yīng)對(duì)手段的具體表現(xiàn)形式。“像Rackspace這樣的企業(yè)一直都在為客戶提供不間斷的緊急事件響應(yīng)機(jī)制，”Nather表示。“雖然此類機(jī)制并不屬于服務(wù)合約當(dāng)中的規(guī)定項(xiàng)目，但上述廠商仍然堅(jiān)持肩負(fù)起此類任務(wù)、因?yàn)榭蛻糇陨砀緵](méi)有能力親手完成這些工作。”

Nather同時(shí)指出，托管緊急事件響應(yīng)服務(wù)雖然擁有明確的受眾群體，但其發(fā)展過(guò)程中也必然面臨著諸多挑戰(zhàn)。首先，此類服務(wù)在規(guī)模化方面存在著難以逾越的障礙。此外，盡管幾乎每一家遭遇過(guò)攻擊活動(dòng)的企業(yè)都希望獲得幫助以識(shí)別并消除此類威脅，但并不是所有客戶都愿意像網(wǎng)絡(luò)取證專家們那樣構(gòu)建起一套各類豐富的根本性原因分析方案。“我們要做的是弄清楚客戶到底愿意在這條路上走多遠(yuǎn)，”她解釋稱。

不過(guò)Co3公司的Julian表示，即使是規(guī)模較小的企業(yè)也同樣需要工具方案來(lái)幫助自身全面了解安全事件的后果以及由此給一家公司帶來(lái)的確切影響。“我們這個(gè)行業(yè)往往會(huì)將注意力集中在端點(diǎn)及惡意軟件層面，但即使是小型企業(yè)也需要明確掌握安全威脅的來(lái)龍去脈，”Julian總結(jié)道。

原文鏈接：http://www.networkworld.com/article/2864463/careers/how-an-acute-shortage-of-cyber-talent-gave-rise-to-spooks-as-a-service.html