威脅情報，設備之外的安全能力

網(wǎng)絡攻擊手法日趨純熟及精密并具破壞性。從網(wǎng)絡安全商角度來看，為眾多每天受到攻擊的單位解決問題成為日益嚴峻的挑戰(zhàn)。

除硬件安全設備以外，一些看不見的安全能力，無疑也是網(wǎng)絡安全防御中不可或缺的，這就是威脅情報。

獲得即時及準確預測威脅情報比所想困難，背后需要一個強大的研發(fā)部門，包括以下幾個重要組成部分：

1.分而治之。利用傳統(tǒng)手法打擊網(wǎng)絡犯罪分子已經(jīng)沒有效果。根據(jù)筆者經(jīng)驗，有效威脅研究部門應由多個小隊組成，而每個團隊都會專注于特定類型的威脅。這樣可以重點提升專業(yè)水平和競爭能力，從而提升效率并識別更多威脅，縮短客戶面對威脅的時間。

2.保持團隊靈活性。威脅研究團隊必須靈活應對。網(wǎng)絡威脅變化只需一天、數(shù)小時甚至數(shù)分鐘。團隊必須能夠調整自己的優(yōu)先次序，集中注意力。比如，F(xiàn)ortinet會根據(jù)威脅形勢演變預測更新研究計劃。在確定新方向后，挑選最適合的研究人員加入指定團隊，深入評估新出現(xiàn)的威脅。最近威脅例子包括物聯(lián)網(wǎng)、勒索軟件和自主惡意軟件。

3.綜觀全局。單位應鼓勵研究人員大處著眼按其興趣工作，即使其興趣范疇與公司產(chǎn)品沒有直接聯(lián)系。例如，物聯(lián)網(wǎng)漏洞研究可以加深單位安全供應商對威脅環(huán)境趨勢的影響 。

4.提升直覺力。研究團隊的領隊必須培訓其團隊對威脅識別的敏銳度，以確保攻擊在發(fā)生前已經(jīng)可以辨識該潛在威脅。例如Mirai僵尸網(wǎng)絡入侵物聯(lián)網(wǎng)，專業(yè)網(wǎng)絡威脅研究員已于多年間作出物聯(lián)網(wǎng)漏洞將是下一個重大威脅警告。威脅發(fā)展迅速和多變， 如果網(wǎng)絡安全商在安全研究上滯后，客戶的網(wǎng)絡就會受到威脅。

5.收集數(shù)據(jù)。威脅研究團隊獲得越多數(shù)據(jù)，研究成果就越顯著。如Fortinet除了利用遍布全球的300萬個感應器外，還會積極地透過網(wǎng)絡威脅聯(lián)盟(Cyber Threat Alliance)與國際刑警組織(INTERPOL)、KISA及其他網(wǎng)絡安全商交換威脅情報。

6.研究技術的投入。有效的研究團隊需要先進工具協(xié)助分析每秒接收的龐大數(shù)據(jù)。雖然現(xiàn)時我們有內容模式識別語言(CPRLs：Content Patteren Recognition Languages)，幫助識別成千上萬的當前、未來病毒變體。在不久的將來，我們將會依靠大數(shù)據(jù)分析和人工智能(AI)等技術進行分析，AI 將幫助網(wǎng)絡安全不斷適應持續(xù)增長的攻擊面。未來，一套成熟的人工智能系能夠自動完成這些復雜的決策。

無論AI發(fā)展得多先進，甚至全自動化，讓機器自行作出所有決定的也是不可能的，人為干預仍是必需的。大數(shù)據(jù)和分析平臺可以預測惡意軟件的發(fā)展，卻不能防止惡意軟件突變。

基本上惡意軟件會隨著互聯(lián)網(wǎng)的發(fā)展，及技術應用演變。例如，如果在未來幾年，無人駕駛車和可攜式物聯(lián)網(wǎng)裝置被廣泛使用，網(wǎng)絡犯罪分子將會一如既往地尋找方法攻擊這些汽車和設備。同樣地，如果加密貨幣在今年內繼續(xù)維持高利率水平，將會吸引黑客入侵。

自動化概念為網(wǎng)絡犯罪分子開拓很多新可能性，對單位威脅加劇。由于黑客在惡意軟件中加強其自動化攻擊能力，這些程序化設計不但加快攻擊速度，還縮短從發(fā)動攻擊到造成損害之間的時間，同時具有避開偵測的能力。單位需要在分布式網(wǎng)絡生態(tài)系統(tǒng)中，從物聯(lián)網(wǎng)到云端層面，透過協(xié)調一致的方式進行實時回應?，F(xiàn)時未有太多單位有能力作出如此措施，這正是IT總監(jiān)們應該開始著手改善的事情。