信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡安全和信息化”，作者：于金科、趙長林。

如今，企業(yè)面對安全問題不是“會不會受到攻擊”，而是“在什么時候以及如何受到攻擊”。在預見這些后果的過程中，安全運營中心（SOC）正在轉變?yōu)橐环N檢測和響應的組織架構。

企業(yè)如何衡量安全運營中心的檢測和響應的效率和價值？當然是通過實施安全措施的速度和有效性。因此，在看到這一轉變的同時現(xiàn)在也看到安全企業(yè)組建了預測團隊，其目的是積極主動地縮短檢測和響應時間并減少風險。在安全運營的背景下，預測團隊利用其安全基礎架構中內部和外部的有關威脅和事件數(shù)據(jù)進行背景分析，并在整個過程中更加主動。數(shù)據(jù)驅動可以使防御者鎖定潛在攻擊，理解它對企業(yè)的影響，并預防或減輕風險。安全預測團隊可能重視諸多因素，但其中兩個首要的方面就是威脅的預防和搜索。

主動威脅防御意味著可以預測企業(yè)環(huán)境中可能要發(fā)生什么，通過將威脅情報和數(shù)據(jù)發(fā)送給不同系統(tǒng)實施統(tǒng)一防御，可以快速遏制和防止其再次發(fā)生。這可以由揭露惡意行為的內部數(shù)據(jù)而引發(fā)，也可以由對過去事件的分析而實現(xiàn)。

假設看到一個在入侵防御系統(tǒng)中沒有見到過的IP地址，通過查詢其他系統(tǒng)，查看企業(yè)的其他安全工具是否檢測到與該IP地址的通信，由于沒有事件發(fā)生前因后果的背景，無法全面了解發(fā)生了什么問題。但通過查看外部的威脅情報，可以發(fā)現(xiàn)該可疑的IP地址與某個特定的惡意黑客相關聯(lián)，這樣可以重點關注這個黑客，了解到與此黑客有關的大量的其他IP地址也被搜索和阻止。通過深入挖掘其他威脅情報源，就可能在其他工具中發(fā)現(xiàn)其他相關的風險和威脅，從而提前主動、全面地快速做出響應。進而，將新情報整合到企業(yè)的防御策略中，就可以主動地強化防御，并防止由同樣的惡意黑客發(fā)動的攻擊。前瞻性的威脅防御取決于是否能夠通過理解事件背景和全面快速地增強防御。

可以預先限制范圍并防止未來的攻擊，自動向防御設施發(fā)送情報，以生成和應用更新的策略和規(guī)則，即使環(huán)境中尚未出現(xiàn)其他跡象，不能僅僅阻止某一個IP地址或是等到惡意攻擊者再次“造訪”。

主動搜尋威脅應在內部警告還沒有被觸發(fā)之前，就從外部的信息源（報告、新聞等）開始實施。通過利用外部的數(shù)據(jù)和信息，搜尋企業(yè)環(huán)境中的表明可能發(fā)生攻擊的相關跡象。例如，可能了解到惡意軟件正被用來針對企業(yè)所屬行業(yè)，所以就去訪問政府、行業(yè)、開源的或商業(yè)的情報源以及相關的網(wǎng)絡安全參考框架，進而了解技術細節(jié)、潛在的攻擊跡象以及可以在企業(yè)環(huán)境中搜尋的可能的相關事件。根據(jù)企業(yè)面臨的潛在風險，利用這些情報來主動地阻止企業(yè)防御基礎設施中存在的那些不安全因素。此時，不妨展開調查，假設某種惡意威脅已經(jīng)滲透進入了企業(yè)網(wǎng)絡，并著手測試自己的假設。在確認惡意活動后，可以采取減輕風險或防止攻擊的適當措施。

通過手動篩查日志并決定哪些事件相關，并將日志與海量的外部威脅情報和其他內部數(shù)據(jù)相關聯(lián)進而確定惡意活動，是極其耗時的?？梢允紫柔槍Ω邇r值資源來追蹤惡意攻擊者，借助能夠對內外部數(shù)據(jù)進行匯集、關聯(lián)和標準化的平臺，挖掘所有可用的豐富數(shù)據(jù)，獲得問題或安全威脅的整體狀況?？梢越⒁环N數(shù)據(jù)驅動方案，它可由鏈接到過往事件的新情報而觸發(fā)啟動，或者由安全團隊正在主動搜尋的新威脅情報而觸發(fā)。在確定了惡意活動范圍和所有受影響或有可能被攻擊的目標系統(tǒng)之后，就能夠精心策劃和設計全面的響應?？梢栽诙嘞到y(tǒng)之間執(zhí)行適當?shù)南嚓P操作，并且能夠將有關數(shù)據(jù)立即自動發(fā)送到企業(yè)防御體系中，從而實現(xiàn)更快的檢測和響應。而且，數(shù)據(jù)和情報應隨時被發(fā)送到情報中心，以確保企業(yè)的防護能力和安全狀況隨著時間的推移而改善。