對(duì)于許多企業(yè)的安全運(yùn)營中心團(tuán)隊(duì)來說，防御網(wǎng)絡(luò)攻擊在很大程度上是被動(dòng)的措施，因?yàn)樗麄兠媾R著日益復(fù)雜的威脅和不斷擴(kuò)大的攻擊面，這些威脅來自遠(yuǎn)程工作和大量云計(jì)算應(yīng)用程序，這些應(yīng)用程序?yàn)槲唇?jīng)授權(quán)的用戶提供了無數(shù)的系統(tǒng)訪問點(diǎn)。

[[425404]]

對(duì)安全事件做出迅速而徹底的響應(yīng)是關(guān)鍵，了解事件發(fā)生的方式、時(shí)間和原因的大局也很重要。對(duì)網(wǎng)絡(luò)威脅作出反應(yīng)而不從整體上防御可能會(huì)陷入無限的惡性循環(huán)中，在這種情況下，遏制安全威脅只是為了等待網(wǎng)絡(luò)攻擊者再次利用相同的網(wǎng)絡(luò)攻擊方法。

不幸的是，當(dāng)企業(yè)開始遏制網(wǎng)絡(luò)威脅時(shí)，其行為可能會(huì)為威脅行為者敲響警鐘，促進(jìn)他們加快網(wǎng)絡(luò)攻擊或改變技術(shù)。因此，安全運(yùn)營中心團(tuán)隊(duì)分析網(wǎng)絡(luò)威脅事件發(fā)生的方式、時(shí)間和原因至關(guān)重要。

網(wǎng)絡(luò)威脅情報(bào)的重要性

網(wǎng)絡(luò)威脅情報(bào)包含有關(guān)網(wǎng)絡(luò)攻擊者的戰(zhàn)術(shù)、技術(shù)和程序的信息，它使企業(yè)能夠?qū)ζ渚W(wǎng)絡(luò)安全計(jì)劃做出更明智和數(shù)據(jù)驅(qū)動(dòng)的決策，從而推動(dòng)更成功地保護(hù)和檢測(cè)，并應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)攻擊。

正如調(diào)研機(jī)構(gòu)Gartner公司所確認(rèn)的那樣，“基于證據(jù)的知識(shí)，包括背景、機(jī)制、指標(biāo)、影響以及關(guān)于現(xiàn)有或正在出現(xiàn)的資產(chǎn)威脅或危害的可操作建議……可用于告知有關(guān)主體對(duì)該威脅或危害的反應(yīng)的決策。”

網(wǎng)絡(luò)威脅情報(bào)可以幫助企業(yè)識(shí)別盲點(diǎn)，為安全運(yùn)營中心團(tuán)隊(duì)提供有關(guān)威脅形勢(shì)的寶貴見解，最終使他們能夠降低風(fēng)險(xiǎn)。通過應(yīng)用威脅情報(bào)來識(shí)別和理解網(wǎng)絡(luò)攻擊者與其TTP之間的關(guān)系，安全分析師需要針對(duì)其特定環(huán)境采取更有效的主動(dòng)措施。

當(dāng)今企業(yè)面臨的威脅情報(bào)挑戰(zhàn)

網(wǎng)絡(luò)威脅形勢(shì)如今不斷發(fā)展，諸如針對(duì)Colonial輸油管道的DarkSide勒索軟件活動(dòng)(導(dǎo)致美國石油公司的管道關(guān)閉并支付約500萬美元的贖金)和SUNBURST(導(dǎo)致SolarWinds公司數(shù)據(jù)泄露的惡意軟件變種)等網(wǎng)絡(luò)攻擊事件泄露了30000多個(gè)公共和私人組織的數(shù)據(jù)，這只是網(wǎng)絡(luò)攻擊事件的冰山一角。

近年來，為了更好地應(yīng)對(duì)出現(xiàn)的網(wǎng)絡(luò)威脅并采取明智的行動(dòng)，許多企業(yè)都試圖利用網(wǎng)絡(luò)威脅情報(bào)。然而在實(shí)踐中，安全運(yùn)營中心團(tuán)隊(duì)往往看不到切實(shí)的結(jié)果。根據(jù)信息安全論壇的研究，其82%的成員擁有網(wǎng)絡(luò)威脅情報(bào)的能力，其余18%的成員正在計(jì)劃實(shí)施，但只有25%的成員認(rèn)為他們達(dá)到了預(yù)期目標(biāo)。

這主要是由于網(wǎng)絡(luò)威脅情報(bào)的常見缺陷，例如無法有效處理、關(guān)聯(lián)和分析數(shù)據(jù)，因?yàn)樾盘?hào)和遙測(cè)數(shù)據(jù)量巨大，在遠(yuǎn)程點(diǎn)收集測(cè)量值或其他信息，并自動(dòng)傳輸?shù)浇邮赵O(shè)備。大多數(shù)威脅情報(bào)解決方案在很大程度上依賴于人為干預(yù)來整合、解析、豐富和驗(yàn)證數(shù)據(jù)，他們的分析可能過于關(guān)注網(wǎng)絡(luò)攻擊者是誰，而不是如何補(bǔ)救和采取應(yīng)對(duì)行動(dòng)。

另一個(gè)問題是威脅情報(bào)來源通常是孤立的，安全運(yùn)營中心團(tuán)隊(duì)缺乏正確的技術(shù)和流程來連接和關(guān)聯(lián)他們的數(shù)據(jù)以獲得更完整的信息。因此，實(shí)施網(wǎng)絡(luò)威脅情報(bào)變得既昂貴又耗時(shí)，安全人員致力于將有意義的洞察與無用的信息區(qū)分開來。

利用人工智能獲取威脅情報(bào)

隨著安全事件隊(duì)列的不斷增長，“平均檢測(cè)時(shí)間”(MTTD)和“平均響應(yīng)時(shí)間”(MTTR)等響應(yīng)時(shí)間指標(biāo)也在上升，這一點(diǎn)也不足為奇。鑒于執(zhí)行這些類型的深入分析的最大障礙之一是時(shí)間和資源，關(guān)鍵問題是企業(yè)如何獲取和評(píng)估他們需要的情報(bào)，而不會(huì)給已經(jīng)超負(fù)荷工作的安全團(tuán)隊(duì)增加更多的工作。

實(shí)現(xiàn)網(wǎng)絡(luò)威脅情報(bào)全部價(jià)值的最有效方法之一是將人工智能與人類智能結(jié)合起來。這樣做可以解決兩個(gè)主要問題：需要人工處理的數(shù)據(jù)量以及人工關(guān)聯(lián)和場(chǎng)景數(shù)據(jù)所需的時(shí)間。

通過利用人工智能驅(qū)動(dòng)的自主安全工具，安全專業(yè)人員可以減少他們以前完成的大量勞動(dòng)密集型工作。這些人工智能驅(qū)動(dòng)的平臺(tái)可以執(zhí)行TTP分析并大規(guī)模實(shí)時(shí)關(guān)聯(lián)傳入的威脅。

一些平臺(tái)甚至提供了一個(gè)控制臺(tái)，安全運(yùn)營中心團(tuán)隊(duì)可以從中調(diào)查特定事件，訪問有關(guān)威脅首次出現(xiàn)的時(shí)間、最后一次出現(xiàn)的時(shí)間以及數(shù)據(jù)泄露范圍的信息。此類平臺(tái)還可以快速識(shí)別威脅類型(例如勒索軟件活動(dòng))，甚至可以深入了解網(wǎng)絡(luò)攻擊者的每個(gè)步驟如何映射到MITRE ATT&CK框架的TTP，這是一個(gè)全球可訪問的網(wǎng)絡(luò)攻擊者策略知識(shí)庫和基于現(xiàn)實(shí)經(jīng)驗(yàn)的技術(shù)，可以開發(fā)眾包網(wǎng)絡(luò)安全防御措施。

結(jié)論

網(wǎng)絡(luò)攻擊者正在采用新穎且日益復(fù)雜的技術(shù)來滲透和攻擊網(wǎng)絡(luò)和系統(tǒng)，而當(dāng)今的大多數(shù)安全團(tuán)隊(duì)都不堪重負(fù)，無法對(duì)其所有事件調(diào)查進(jìn)行深入且有意義的分析。但是在人工智能驅(qū)動(dòng)的自主工具的幫助下，安全運(yùn)營中心團(tuán)隊(duì)現(xiàn)在可以大規(guī)模訪問實(shí)時(shí)威脅建模、事件關(guān)聯(lián)和TTP分析，使威脅分析師能夠做出明智的、具有數(shù)據(jù)支持的決策。人工智能和人類智能的這種結(jié)合為網(wǎng)絡(luò)數(shù)據(jù)提供了場(chǎng)景、豐富性和可操作性，并使企業(yè)能夠采取更加自動(dòng)化和主動(dòng)的防御方法和措施——不僅跟上網(wǎng)絡(luò)攻擊者的發(fā)展步伐，甚至領(lǐng)先一步。