智能情报构建数字适应性

本文是ISC 2021 演讲的摘要, 分享出来,希望大家对其中观点做进一步批评和指正。

数字时代的来临,使网络安全越发重要并成为数字经济的基石,但挑战也前所未有:一切皆可编程,意味着漏洞无所不在,安全防护必然不能再以漏洞为中心,而是需要风险的视角,也即在敌人通过漏洞进入内部后,企业需要基于业务风险做重点防御、纵深防御;万物互联,意味着企业很难再有明显的边界,远程办公、云服务、供应链、公司并购,复杂的数字生态关系使企业难以独善其身,需要从更高维度的空间上监测自身的安全性并积极参与生态构建;大数据驱动业务,使数据成为最重要的目标,安全不再是一个附加的模块,需要和业务系统深度的融合,以达到及时、高效。

情报相应也在变化,从传统狭义的威胁情报,演进为一个新的体系,这个近年在海外被称为安全情报,或者网空情报,从整体上看它有以下典型特征:

  1. 不再以威胁为核心,新形势下的数字组织不但需要通过情报了解对手,也需要以此了解自身,特别是对云上业务、供应链相关等互联网相关的数字资产、漏洞、威胁、数据泄漏等,情报需要知彼,但也更需要知己;
  2. 情报的优先服务对象,不再只是安全运营和管理人员,而是企业的高管,对应情报最需要考虑提供的,是和组织环境、使命、业务运营、收入和声誉相关的所有威胁和风险信息,而不是IOC等机读情报;
  3. 情报不再单纯是一种第三方服务,而是企业自身需要具备的核心能力,任何一个组织如果要回答特征二提及的问题,都必须结合自身业务和威胁相关的全时、全域、全维的情报进行针对性分析,获得符合自身组织和业务特点的答案,这个过程厂商能提供基础的战术、战役情报,提供分析工具和方法,甚至包括情报专家,唯独难以提供这个答案——组织的网络空间战略情报报告。

也有人说符合这些的才是真正的威胁情报。无论如何,时代的召唤、市场的期望都已经发生了巨大的变化。

在情报的新旅途中,存在两个发力点,如果能够善加利用,应该可以加速企业新一代情报能力的建设,更好地建立数字适应性或者韧性:

  1. 外部攻击面管理: 越来越多的业务系统连接互联网,甚至直接部署在公有云之上,企业的外部攻击面在高速增长。但即使安全成熟度相对高的企业,对内部资产的管理已经相对成熟,但在应对这种大量暴露在外部的资产却没有合适的管理工具。如何持续监测、梳理资产、发现和分析风险直到进行相应的调整(收缩攻击面、加固、修复等),是一套相对复杂的流程,需要具备pDNS、数字证书等大网基础数据,也需要完善的大网测绘能力,同时包括漏洞情报、受控主机、攻击跳板主机、开源和暗网多种情报能力,才能构建一个相对完善的外部攻击面管理平台(参照PA收购整合后的Cortex Xpanse、微软最近收购的RiskIQ)。这种关键技术复合型的产品,还需要贴紧业务,无疑对甲乙方都是挑战,但对于安全贴近业务、提供决策层所需情报,同时也是一个好的起点。

  2. 智能分析: Cisco的统计表明,大量企业每天要处理10W+以上的报警,基于现有方式能展开分析调查的不超过一半,而其中有效事件的比例只有26%左右。运营人员每天经历重复的、枯燥的日志分析流程,依然无法处理完所有日志,更无法将精力用在有挑战和价值的事件响应工作上。而智能分析就是基于情报和安全大数据、运营经验及分析专家知识,形成自动化分析模型,可以从海量报警中直接去除误报或虚警,识别出关键安全事件。智能分析不但可以让运营更高效,事件处置更及时,同时通过开箱即用的“专业分析知识”,缩小技能差距;帮助分析师摆脱手动、冗长、重复的分析过程,使宝贵的资源投入到高价值工作中,改善整体安全态势。

从整体趋势看,情报的外延在扩张,除了相对成熟给产品赋能的机读情报,其它类型也逐步走到重点位置上,包括战略情报、外部攻击面情报、漏洞情报、ICS情报、供应链情报等,以及情报分析和情报管理解决方案;同时情报的深度在不断延展,不再是一种纯粹的数据收集、分析、整理和发布的过程,而更多需要和运营知识、分析知识整合,只有这种更智能的情报,才能帮助构建数字基建的适应性。情报的路还有很长,充满崎岖,但也充满探索和希望。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,743评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,296评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,285评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,485评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,581评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,821评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,960评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,719评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,186评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,516评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,650评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,329评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,936评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,757评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,991评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,370评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,527评论 2 349

推荐阅读更多精彩内容

  • 来源:How to build a Security Operations Center 一、SOC基础知识 无论...
    Threathunter阅读 932评论 0 1
  • 导读 区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则...
    笔名辉哥阅读 1,132评论 0 50
  • 表情是什么,我认为表情就是表现出来的情绪。表情可以传达很多信息。高兴了当然就笑了,难过就哭了。两者是相互影响密不可...
    Persistenc_6aea阅读 124,454评论 2 7
  • 16宿命:用概率思维提高你的胜算 以前的我是风险厌恶者,不喜欢去冒险,但是人生放弃了冒险,也就放弃了无数的可能。 ...
    yichen大刀阅读 6,041评论 0 4