1. 网络安全威胁与应对的现状
随着科技发展和数字化进程的推进,网络安全威胁日趋多样化和复杂化。因此,应对网络安全威胁已成为当今社会最重要的课题之一。
人工智能、大数据和云计算等现代技术的进步极大地改变了我们的生活和商业运营方式。然而,这些技术进步也为网络威胁行为者提供了新的工具和机会,导致网络威胁的复杂程度和频率显著提升。这些威胁带来的经济和安全影响预计将持续上升。
近年来,我们目睹了多起重大网络安全事件。2021年,开源Log4J和微软Exchange服务器的漏洞被广泛利用;2022年,重点转向应对猖獗的勒索软件攻击;2023年,出现了利用ChatGPT等生成式人工智能开发新型威胁工具的网络攻击报告。
威胁形势在不断演变,据悉网络威胁行为者正在利用生成式人工智能快速改进其攻击工具。尽管生成式人工智能设有内置的安全防护机制,但攻击者已找到方法,通过将开发过程分解为更小、更易管理的任务来创建恶意软件,从而规避这些程序的限制。这导致了前所未见的威胁快速涌现。
从历史脉络来看,网络安全领域的演变可分为五个阶段:
-
第一代 – 杀毒软件时代:计算机出现,病毒随之诞生,杀毒软件成为有效对策。 -
第二代 – 防火墙时代:互联网时代来临,防火墙应运而生,新型恶意软件和网络攻击出现。 -
第三代 – 入侵防御时代:攻击者开始利用应用程序漏洞。 -
第四代 – 沙箱时代:针对性攻击盛行,传统的基于特征的防御方式已显不足。 -
第五代 – 威胁情报时代:当前阶段特征是大规模智能攻击、勒索软件、复杂恶意程序、高级供应链攻击和未知威胁。这一阶段需要整合的安全基础设施、实时威胁信息共享,以及防御未知威胁的能力。威胁情报在防御策略中发挥着关键作用。
2. 什么是威胁情报?
在网络安全发展到第五代的今天,威胁情报已成为现代组织网络安全策略的基础要素。有效的威胁情报策略需要持续收集和分析信息,以识别和应对威胁。
根据Gartner的定义:"威胁情报是基于证据的知识,包括背景、机制、指标、影响和可操作建议,用于了解现有或新兴的威胁或危害,从而为应对决策提供依据。"
换言之,威胁情报是基于各类数据和信息形成的、用于应对威胁的知识体系。
要理解威胁情报,需要区分"数据"、"信息"和"情报"这三个概念:
-
数据:未经处理的原始指标,如IP地址、URL和哈希值。 -
信息:经过分析和处理的数据,提供背景但可能缺乏可操作的洞见。 -
情报:通过分析和处理各种数据点,在特定背景下创建有意义的信息,用于指导决策和行动。
2013年,安全专家David J Bianco提出的"痛苦金字塔"展示了不同层级的网络威胁指标如何影响攻击者。金字塔强调战术、技术和程序(TTPs)是预防攻击最有效的方法。阻断较低层级的指标(如哈希值、IP地址和域名)对攻击者造成的压力很小,而阻断高层级指标则需要他们投入大量精力和资源。使用TTP指标进行防御可以让组织检测到攻击的所有步骤,给攻击者造成重大挑战。
要达到情报级别的威胁指标,通常需要遵循威胁情报生命周期。威胁情报生命周期是指通过持续、迭代的过程,将原始数据转化为可用于决策的情报,这个过程包括需求、收集、处理、分析、分发和反馈几个阶段:
-
需求:确立威胁情报的目标和路线图 -
收集:从各种来源收集威胁信息 -
处理:将收集的数据预处理成适合分析的格式 -
分析:针对需求得出答案 -
分发:共享分析结果 -
反馈:接收分发结果的反馈
这个生命周期帮助组织系统地管理威胁情报的收集、分析、共享和利用,从而有效应对安全威胁。
随着网络威胁日益复杂和高级持续性攻击的兴起,将威胁情报纳入网络安全策略变得至关重要。仅依靠基于零散数据和信息的被动响应已经不够充分。此外,传统安全措施通常只能检测到不到70%的威胁,导致大量未知威胁无法被发现,同时可能存在一定比例的误报。应用威胁情报将有助于提升网络安全策略,减少误报,提高检测能力,并将有效检测范围扩大到90%以上。
原文始发于微信公众号(独眼情报):威胁情报在网络安全中的作用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论