CTO專欄威脅情報，裝置之外的安全能力

網路攻擊手法日趨純熟及精密並具破壞性。從網路安全商角度來看，為眾多每天受到攻擊的企業解決問題成為日益嚴峻的挑戰。

現代網路安全技術，假設企業已具備所需的專業人員、政策和流程，但部署時仍需審視潛在的攻擊。

除卻盒子，也就是硬體安全裝置以外，一些看不見的安全能力，無疑也是網路安全防禦中不可或缺的，這就是威脅情報（threats intelligence），或者更具體的來講，能夠使安全裝置在不斷變化的威脅環境中，迅速進行威脅響應的一種能力。

獲得即時及準確**威脅情報比所想困難，背後需要乙個強大的研發部門，包括以下幾個重要組成部分：

1.分而治之 — 在大多業務範疇，大型團隊等於較高產量輸出。然而，利用傳統手法打撃網路犯罪分子已經沒效。根據我的經驗，有效威脅研究部門應由多個小隊組成，而每個團隊都會專注於特定型別的威脅。這樣可以重點提公升專業水平和競爭能力，從而提公升效率並識別更多威脅，縮短客戶面對威脅的時間。

2.保持團隊靈活性 — 威脅研究團隊必須靈活應對。網路威脅環境變化只需一天、數小時甚至數分鐘。團隊必須能夠調整自己的優先次序，集中注意力在其領域。譬如說，fortinet會根據威脅形勢演變**更新研究計畫。在確定新方向後，挑選最適合的研究人員加入指定團隊，深入評估新出現的威脅。最近威脅例子包括物聯網、勒索軟體(ransomware)和自主惡意軟體(autonomous malware)。

3.綜觀全域性 — 企業應鼓勵研究人員大處著眼按其興趣工作，即使其興趣範疇與公司產品沒有直接聯絡。例如，物聯網漏洞研究可以加深企業安全**商對威脅環境趨勢的影響。

4.提公升直覺力 — 研究團隊的領隊必須培訓其團隊對威脅識別的敏銳度，以確保攻擊在發生前已經可以辨識該潛在威脅。例如去年9月mirai 殭屍網路入侵物聯網，專業網路威脅研究員已於多年間作出物聯網漏洞將是下乙個重大威脅警告。威脅發展迅速和多變，如果網路安全商在安全研究上滯後，客戶的網路就會受到威脅。

5.收集資料—威脅研究團隊獲得越多資料，研究成果就越顯著。在fortinet，我們除了利用遍布全球的300萬個感應器外，還會積極地透過網路威脅聯盟(cyber threat alliance)與國際刑警組織(interpol)、kisa及其他網路安全商交換威脅情報。近幾個月來，fortinet成功與全球更多機構和營運商合作，幫助各方建立更大規模的威脅資料庫來監控、防止和追溯惡意軟體攻擊的源頭。

6.研究技術的投入 — 有效的研究團隊需要先進工具協助分析每秒接收的龐大資料。雖然現時我們有內容模式識別語言(cprls：content patteren recognition languages)，幫助識別成千上萬的當前、未來病毒變體。在不久的將來，我們將會依靠大資料分析和人工智慧(ai)等技術進行分析，ai 將幫助網路安全不斷適應持續增長的攻擊面。未來，一套成熟的人工智慧系能夠自動完成這些複雜的決策。

無論ai發展得多先進，甚至全自動化，讓機器自行作出所有決定的也是不可能的，人為干預仍是必需的。大資料和分析平台可以**惡意軟體的發展，卻不能防止惡意軟體突變。

基本上惡意軟體會隨著網際網路的發展，及我們於日常生活中技術應用演變。例如，如果在未來幾年，無人駕駛車和可攜式物聯網裝置被廣泛使用，網路犯罪分子將會一如既往地尋找方法攻擊這些汽車和裝置。同樣地，如果加密貨幣(cryptocurrencies)在今年內繼續維持高利率水平，將會吸引黑客入侵。

自動化概念為網路犯罪分子開拓很多新可能性，對企業威脅加劇。由於黑客在惡意軟體中加強其自動化攻擊能力，這些程式化設計不但加快攻擊速度，還縮短從發動攻擊到造成損害之間的時間，同時具有避開偵測的能力。企業需要在分布式網路生態系統中，從物聯網到雲端層面，透過協調一致的方式進行實時回應。現時未有太多企業有能力作出如此措施，這正是it總監們應該開始著手改善的事情。

原文發布時間為：2023年10月10日

CTO專欄威脅情報，裝置之外的安全能力

安全威脅情報實戰

安全威脅情報實戰

文章記錄威脅情報

CTO專欄 威脅情報，裝置之外的安全能力

安全威脅情報實戰

安全威脅情報實戰

文章記錄 威脅情報

相關推薦

CTO專欄威脅情報，裝置之外的安全能力

文章記錄威脅情報