【51CTO.com快譯】網(wǎng)絡(luò)界的軍備競(jìng)賽在迅速推進(jìn)。網(wǎng)絡(luò)犯罪分子憑借驚人的速度、敏捷性和創(chuàng)新，瞬間突破毫無防備的組織，竊取整個(gè)企業(yè)的數(shù)據(jù)、信任和未來。他們貪婪地攻擊，一年前我們對(duì)于威脅分子和網(wǎng)絡(luò)罪犯分子的認(rèn)識(shí)與今天似乎大不一樣。

[[230733]]

這是網(wǎng)絡(luò)威脅成為眾多企業(yè)、品牌、運(yùn)營(yíng)和財(cái)務(wù)面臨的頭號(hào)風(fēng)險(xiǎn)的主要原因。2017年犯罪行為及不斷變化的策略有起有落，勒索軟件創(chuàng)新和網(wǎng)絡(luò)攻擊手段方面更是如此。

為了應(yīng)對(duì)這些類型的攻擊，企業(yè)了解、訪問并利用可付諸行動(dòng)的實(shí)時(shí)網(wǎng)絡(luò)威脅情報(bào)(CTI)以幫助加強(qiáng)安全狀況很重要。說到底，可見性和安全意識(shí)是關(guān)鍵。

CTI讓我們知己知彼

可見性并不總是與現(xiàn)狀聯(lián)系在一起。由于網(wǎng)絡(luò)威脅格局不斷變化，冷靜下來，徹底審查、分析和學(xué)習(xí)現(xiàn)有網(wǎng)絡(luò)安全策略的成敗顯得很重要。

我們總是可以做更多的事。我們可以更迅速地分析和更迅速地優(yōu)化，更靈活、更有力應(yīng)對(duì)攻擊。只有我們了解了數(shù)據(jù)，才能做到這一點(diǎn)。

比如說，SANS Institute發(fā)表了一篇報(bào)告，強(qiáng)調(diào)企業(yè)亟需更高的網(wǎng)絡(luò)可見性，尤其是攻擊者、工具和攻陷指標(biāo)(IOC)等方面可付諸行動(dòng)的數(shù)據(jù)或情況。他們的2018年研究報(bào)告

(http://www.domaintools.com/resources/white-papers/sans-2018-cyber-threat-intelligence-survey?ref=pr&rc=sanscti)特別指出，68%的組織目前在創(chuàng)建或使用CTI數(shù)據(jù)。惡意軟件指標(biāo)和威脅分子覬覦的安全漏洞方面的情報(bào)是兩個(gè)最有用的數(shù)據(jù)集。

了解什么正在面臨風(fēng)險(xiǎn)?

對(duì)于一些企業(yè)和組織來說，盡管仍然很難，收集、分析和運(yùn)用CTI卻是家常便飯。在其他組織，由于專業(yè)知識(shí)、預(yù)算、公司規(guī)?；蛄硗庠S多制約因素，還做不到這點(diǎn)。

每家組織都應(yīng)該知道自己面臨的風(fēng)險(xiǎn)。應(yīng)該在別的方面如何充分保護(hù)自己的網(wǎng)絡(luò)和數(shù)據(jù)?現(xiàn)在是時(shí)候更好地讓我們的信息技術(shù)(IT)管理員、安全分析員、取證分析專家、網(wǎng)絡(luò)架構(gòu)師和安全操作中心(SOC)掌握更準(zhǔn)確的威脅數(shù)據(jù)了，包括針對(duì)性信息和宏觀層面的威脅情報(bào)。

作為一個(gè)基準(zhǔn)，可付諸行動(dòng)的網(wǎng)絡(luò)威脅情報(bào)可以分為以下幾類：

• 惡意軟件：這是個(gè)大類，涵蓋部署在針對(duì)性的機(jī)器、設(shè)備或網(wǎng)絡(luò)上，用于非法牟利或非法活動(dòng)(比如竊取數(shù)據(jù)和登錄信息、故意破壞和間諜活動(dòng)等)的惡意軟件。
• 勒索軟件：這種惡意軟件加密用戶或組織的數(shù)據(jù)，索要贖金(常常以加密貨幣的形式來支付)，才能解密數(shù)據(jù)。
• 零日威脅：這種前所未見的安全漏洞需要立即打上補(bǔ)丁或修復(fù)程序，以糾正和預(yù)防。
• 入侵：范圍廣泛的網(wǎng)絡(luò)泄密，包括應(yīng)用程序漏洞、蠕蟲、特洛伊木馬、軟件漏洞以及可能影響網(wǎng)絡(luò)安全、性能或可靠性的其他惡意流量。
• 加密攻擊：這類惡意軟件或其他惡意的有效載荷使用安全套接字層(SSL)或傳輸層安全性(TLS)標(biāo)準(zhǔn)進(jìn)行加密，企圖隱藏攻擊行為，挫敗標(biāo)準(zhǔn)安全控制措施(比如沒有深度數(shù)據(jù)包檢測(cè)功能的防火墻)。
• 垃圾郵件：主動(dòng)發(fā)來的大量郵件，為網(wǎng)絡(luò)犯罪分子將惡意的URL或文件植入到網(wǎng)絡(luò)上提供了機(jī)會(huì)。
• 網(wǎng)絡(luò)釣魚：利用社交工程伎倆的針對(duì)性電子郵件，常常冒充是合法用戶、朋友、同事或商家，鼓勵(lì)收件人點(diǎn)擊惡意鏈接、打開附件和執(zhí)行文件等。

充分利用為這幾類威脅提供真實(shí)數(shù)據(jù)的CTI工具可用于做出更明智的決策，從而改進(jìn)安全結(jié)果。比如說，來自SonicWall的CTI數(shù)據(jù)發(fā)現(xiàn)，僅在2018年第一季度，普通客戶就遭到了：

• 7739次惡意軟件攻擊，比2017年第一季度增加151%
• 173次勒索軟件攻擊事件，比2017年第一季度增加226%
• 335次加密網(wǎng)絡(luò)攻擊，比2017年第一季度增加430%
• 963次網(wǎng)絡(luò)釣魚攻擊，同比增加15%
• 554次零日攻擊，比2017年增加14%

按照攻擊類型、源頭和地區(qū)來分析這類數(shù)據(jù)有助于我們了解網(wǎng)絡(luò)攻擊趨勢(shì)在如何轉(zhuǎn)變或發(fā)展，因而改進(jìn)組織如何確定預(yù)算、資源和工作的優(yōu)先級(jí)。

實(shí)際運(yùn)用CTI

情報(bào)本身不是特別有用。它需要與提供層次化網(wǎng)絡(luò)安全態(tài)勢(shì)的更大平臺(tái)實(shí)時(shí)整合起來。從邏輯上講，威脅情報(bào)和相關(guān)分析是任何現(xiàn)代網(wǎng)絡(luò)安全平臺(tái)的兩大功能，這種平臺(tái)需要能夠收集和分析CTI，以獲得更好的安全自動(dòng)化。

SANS聲稱，57%的組織在通過專用平臺(tái)將CTI整合和連接到其環(huán)境中。另外許多組織(48%)在使用供應(yīng)商提供的應(yīng)用編程接口(API)。

比如說，自動(dòng)化、數(shù)據(jù)驅(qū)動(dòng)的攻擊防范平臺(tái)應(yīng)該十八般武藝樣樣精通：阻止已知和未知的惡意軟件(比如零日攻擊)，終止加密攻擊，簡(jiǎn)化安全管理，加強(qiáng)可見性和安全意識(shí)，幫助系統(tǒng)恢復(fù)到健康狀態(tài)(比如回滾)，保護(hù)范圍適用于網(wǎng)絡(luò)、電子郵件、云和端點(diǎn)設(shè)備。

網(wǎng)絡(luò)安全需要情報(bào)和多功能

網(wǎng)絡(luò)犯罪分子和威脅分子資金充裕、動(dòng)作敏捷、老奸巨滑，但私營(yíng)和公共部門在這場(chǎng)網(wǎng)絡(luò)戰(zhàn)中正在改變形勢(shì)。

想在網(wǎng)絡(luò)戰(zhàn)中存活下來，組織就要確保已部署的設(shè)備、安全解決方案和戰(zhàn)略在不斷加以評(píng)估或優(yōu)化，輔以實(shí)時(shí)網(wǎng)絡(luò)威脅情報(bào)，這將確保它們是整合的、分層次的、多功能的。網(wǎng)絡(luò)安全從來不是一蹴而就的，也不是可有可無的。

它需要永遠(yuǎn)保持警覺、意識(shí)、防備和決心。

原文標(biāo)題：Real-Time Cyber Threat Intelligence Is More Critical Than Ever，作者：Bill Conner

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】