为了打下更积极主动的基础,有些组织一直在采用威胁情报,这是一种安全实践,它涉及在攻击发生前筛选数据以发现高级持续性威胁(APT)。艾莉梅等公司提供了一个基于云端的平台,该平台可以处理全国约44%的抵押贷款申请,该公司进一步对威胁情报进行了更高层次的利用,其方法是利用预测分析来部署自主威胁搜寻功能。
艾莉梅的高级副总裁兼首席安全官Selim Aissi说:“威胁搜寻本质上非常主动。”“你不必等攻击发生,你要在攻击发生之前(甚至在恶意软件被发现之前)就开始研究威胁,分清威胁的高低并展开调查。”
艾莉梅于两年前甚至更早的时候就开始开发针对高级持续性威胁的自主威胁搜寻项目,以此来应对勒索软件等威胁,Aissi称其为任何企业中最为生死攸关且代价高昂的威胁。该项目为艾莉梅赢得了IT领域成就斐然的首席信息官百佳奖。
2019年12月,Emisoft的恶意软件实验室发布了一份有关《全国勒索软件现状》的报告,该报告发现,美国在2019年遭受了“前所未有且毫不留情的勒索软件攻击”,其潜在成本逾75亿美元,其中包括赎金支付、数据恢复、法院调查和收益损失。
Aissi说:“本行业和类似行业所面临的最大威胁就是勒索软件。勒索软件对所有公司产生了灾难性影响。在SaaS类公司中,当服务中断数日或数周时,这就是灾难。”
主动应对勒索软件
Aissi说,由于传统的勒索软件防护技术提供静态威胁防护,因此它们遇到了难题,即很难跟上新出现的复杂勒索软件技术。主动从以往的勒索软件攻击中学习,以此来了解新的危害指标,发现新的规避技术,然后使用这些技术。艾莉梅的自主威胁搜寻(Autonomous Threat Hunting)程序就是这么做的,该程序利用威胁情报、预测分析、人工智能以及约定俗成的危害指标(IOC)来将其引入现有的安全控制中。
有效的威胁情报程序所面临的最大难题之一就是庞大的数据量。艾莉梅首先通过人工处理危害指标(IOC)上的数据并将这些洞察提供给各种安全工具。但是,一旦打下了这样的基础,Aissi及其团队便进行了“非常积极的自动化之旅”,从而使该组织能够及时采取行动。
Aissi说:“我们将不同来源的数据的汇总自动化,将验证自动化,还将针对安全操作的警报自动化。这可以说是我们旅途中的大跃进。”
另一个重大步骤是:获取行政管理层和利益相关者的支持。Aissi初期与高级行政团队、董事会、监管机构和执行顾问委员会一一会晤。
Aissi说:“过去三年中,我已经对威胁搜寻程序进行了大量验证。我们征集了很多与此相关的意见。我们正在执行一个明确的计划和路线图,但还没有完成。”
与许多大型转型项目一样,变革管理也已成为必不可少的组成部分。
Aissi说:“从变革管理的角度来看,很多影响实际上是对安全运营团队和工程团队的影响。其中许多功能往往是手动的,安全分析人员必须去收集威胁信息并手动将这些信息录入到各种工具中。我们必须对此进行调整并培训安全分析人员和工程师采用这种新的自主方式。”
变革管理对Aissi而言尤为重要,因为“自主威胁搜寻”计划并不是一个独立的计划。如今,它已与网络安全组织的所有工作捆绑在一起,包括漏洞管理程序和补丁程序管理。不过,这样做的好处是免去了手动进行的威胁搜寻任务,使安全工程师和安全分析人员可以从事其他任务,团队也不必继续使用只能进行静态监视和检测的几种安全工具。
该项目还需要高水平的跨部门合作。安全团队与工程,基础设施,云端和质量保证紧密合作,以发现可能受到勒索软件影响的所有重要资产以及用以传播恶意软件的所有网络协议。这些团队还要合作进行业务影响评估,以评估勒索软件的潜在影响。安全性还要与法律,隐私,重要客户和执法机构进行协调,以确保技术的自治层面与法律和隐私义务保持一致。
Aissi表示,该程序已将安全运营效率提高了大约35%,并导致对威胁的早期发现能力提高了约10倍,它还使解决新威胁的速度提高了约60%。
Aissi给试图启动威胁搜寻程序的其他安全专业人员提了个建议,那就是采取战略性的,长期的观点。
Aissi说:“自主威胁搜寻绝非短期内想启用就启用的东西。这需要人们进行大量的规划,需要进行大量人员和工具方面的培训,需要大量的明确的服务水平协议,投资,集成和自动化。”
Aissi还强调说,你必须先建立强大的威胁情报功能,然后才能进行威胁搜寻。最后,他说,请确保你与公司中的其他利益相关者协调该程序。