以往网络安全应急响应只和电信运营商、互联网企业和大众网民用户相关,但是随着“互联网+”时代到来,互联网成为很多社会生产的重要组成部分,而且越来越多的企事业单位采用网络化办公,网络安全应急响应已经不再局限在传统应急通信技术领域,也不再仅仅是国家公共安全管理部门的职责,而是成为各行各业企业、机构日常管理的一部分。
在“互联网+”各行各业的时代背景下,不论是商业贸易企业,还是生产制造企业,甚至大型农场合作社,都已经和互联网发生千丝万缕的联系,一旦网络安全出现问题,造成企业网络中断、运作失灵、知识产权泄密,有可能造成企业关门倒闭。即使企业没有致命的损失,也会造成企业声誉的不良影响。
同时,网络化的实体企业越来越多,他们各自行业背景不同,会产生定制化的应急响应服务需求。由于绝大多数企业本身不具备高级别的专业技术能力,而常备应急技术与人力资源也是成本负担,因此向外部寻求安全应急服务采购,成为企业法人处置网络安全重大事故的最佳选择。这也需要我国本土网络安全技术厂商成长壮大,达到与国际网络安全厂商看齐的技术与产品实力,在保障我国企业组织的网络安全发挥关键支撑作用。
因此,在“互联网+”的新时期,网络安全应急响应的规划与落实逐步成为大型企业的“必修课”。越来越多的大型企事业单位,特别是经营传统业务的大型企业、跨地区运营的公司,也在探索建立其内部办公网络、业务承载网络的安全应急响应工作机制。
综上所述,随着网络和信息化的普及应用,网络安全已经不仅影响我们在网络空间的虚拟上网生活,而且影响实际的生产经营企业,对实体企业的影响不限于断网,而是企业的核心资产和生存能力,并且未来在“互联网+”彻底覆盖我们日常生活方方面面的时候,网络安全的影响将迅速扩大到我们生活在网络和现实融合时空之内的绝大多数场景。
不论是企业还是机构,未来将面临的一个重要网络安全问题是,企业内网络安全的防护不再是孤立的,而是和整个互联网安全状况和突发网络安全事件紧密联合起来。例如,对企业而言,虽然内网的数据不允许向外流出,但一旦某类黑客攻击发生在同类型企业或者使用相同信息系统架构的企业或组织,那么该企业将很有可能面临被攻击。
威胁情报的概念也是基于上述情况而提出。因此出现较晚,业界对威胁情报概念的理解各不相同。例如,有人认为“样本库”可称为情报,也有人认为“黑名单”是情报,而一些公开资料中提到的网络安全信息共享也被认为是威胁情报的早期版本。
国际上也有网络安全研究机构给出“威胁情报”的专业定义(如 Gartner)。国内也有学者提出了威胁情报的六大要素(采集、关联、归类、整合、行动、分享)和4个阶段(广覆盖收集有效信息、分析处理与生产、行动实施、生态圈分享)。
对威胁情报的理解:依赖证据知识,包含情境、机制、影响和应对建议,威胁情报可以第一时间诊断出存在或者正在显露的威胁或危害资产的行为。威胁情报的目的就是实现“早、快、准、全”的安全隐患监测和警报。
如果企业能及早了解熟悉上述威胁情报信息,就可以为有效防范和采取应急措施赢得时间。而企业面对网络黑客攻击特别是一些严重的计算机犯罪行为,如能提前预知、提前响应,则可能避免系统崩溃、业务崩溃、高价值数据丢失等“灭顶之灾”。
(1)定位网络威胁行为 利用云端大数据分析平台,对数据和情报进行收集、处理,综合以后形成有效的威胁情报,通过产品的方式建立客户侧的轻量级数据平台,从而接收威胁情报推送,快速定位攻击行为。
(2)获取网络安全舆情 通过对国内外知名的大众论坛(博客、Twitter)进行安全专项舆情监测,提前做到同类可疑安全问题的尽早防范。例如当有国外论坛讨论“泄露”怎么应用,以及对“某个漏洞是否好用”、“可以做免杀”等话题的讨论明显集中出现在某个“虚拟讨论区”,尽管国内还没有充分意识到这个问题,但可以通过威胁情报系统提前帮助机构或企业尽早部署预防。另外,大规模网络攻击(包括DDoS攻击,大规模Web攻击)的情况也可以实现舆情态势监测,帮助政府或企业了解关心的情况。
(3)关联漏洞平台 由于机构或企业面临的漏洞威胁日益严重,因漏洞而导致的经济损失越来越大,所以获取的威胁情报的第三个价值就是关联漏洞平台,从而及时排查漏洞隐患、及时修补改进。企业和机构可以从威胁情报系统中得到包括漏洞安全播报、安全状况简报等信息内容。
全面、及时、准确获取威胁情报,将为大型项目网络安全应急响应提供坚实保障。比如承办奥运会、亚运会,召开APEC、亚信上合组织峰会,以及举行阅兵和全国两会会议期间的威胁情报可以让特定时期内网络安全应急响应工作有的放矢,保持最大的主动性。
根据当前网络安全业界的实践状况,已经有网络安全厂商提出“企业威胁情报”“态势感知”等概念,并已经开发出相应的技术和产品,投入生产实践。总体上看,威胁情报将会对未来国家、机构、企业、大型项目活动的网络安全应急响应产生显著影响,威胁情报也代表了网络安全应急响应技术与实践的方向和发展趋势。随着业界和机构、企业用户对威胁情报的认识和实践的理解不断加深,威胁情报理念对网络安全应急响应技术与实践的进一步完善和成熟将产生更大的促进作用。
近几年来,不管是突发公共安全事件,还是网络安全事件,应急响应得到高度重视,并且为保障我国经济社会稳定、人民群众安居乐业发挥重要作用。在网络信息安全领域,网络安全应急响应逐步受到政府、机构组织、企业的重视。网络安全应急响应技术、应急响应设计平台在各个行业和各级政府不同层级上开始开发与建设。
原文始发于微信公众号(计算机与网络安全):网络安全应急响应发展趋势
评论