威脅情資在資安防範過程中扮演重要的角色,因為它能讓安全設備能封阻對企業產生危害的網路威脅。簡單地說,威脅情資是網路防禦的燃料,能讓安全設備掌握不斷變化的威脅情勢,並擁有適當因應的能力。
現代的網路安全技術已不可或缺。假設企業已經聘雇適當的專業人員,而且建立了政策和流程。但部署這些安全技術所必須在乎的,遠遠超越放在機櫃裡的資安設備。因為讓安全設備發揮作用的是看不見的威脅情資,但它卻扮演重要的角色,讓這些安全設備能封阻對企業產生危害的網路威脅。或者更具體地說,威脅情資是網路防禦的燃料,能讓安全設備掌握不斷變化的威脅情勢,並擁有適當因應的能力。
研發體系蔚為關鍵
|
▲本文作者謝華認為,威脅情資能讓安全設備掌握不斷變化的威脅情勢且適當的因應。然而要擁有及時、準確且具有預測性的威脅情資,需要一個強大的研發體系,因此Fortinet非常重視安全研究團隊。 |
要擁有及時、準確和有預測性的威脅情資,需要一個強大的研發體系,並且包括下述幾個組成元素:
1.分工而為:想要勝過網路犯罪分子,依循傳統智慧很少有效。根據個人的經驗,一個有效的威脅研究機構應該由許多小團隊組成,每個團隊則致力於研究一種特定類型的威脅,而非組成一個大型團隊大量產出。鎖定個別的研究重點,可以提高每個團隊的專業水準和能力,進而更快地發現網路威脅,辦識確認出更多的威脅,並同時縮短客戶因應安全事件的時間。
2.步調快速:威脅研究團隊必須靈活。威脅情勢是高度動態的,在一天甚至幾個小時和幾分鐘內,就可能產生變化。團隊成員必須能夠調整優先順序,並且不斷重新集中注意力,例如在Fortinet,研究計畫會根據威脅情勢將如何演變的預測而隨即更新。接著,再從確定的新方向出發,選擇具備最適合技能的研究人員,加入特別工作小組來研究這些新興威脅。近來這些新興威脅包括物聯網、勒索軟體以及自主惡意軟體。
3.綜觀全局:必須鼓勵研究人員眼光放遠,專注在自己的研究領域,即使所專注的領域與公司產品沒有直接相關。例如,對物聯網漏洞的研究,有助於深化企業安全供應商對威脅形勢的了解。
4.磨練本能:研究小組的領導者必須訓練他們的團隊,發展敏銳度,這有助於辨識一個重要的網路威脅,在它明確造成影響之前。例如,卓越的威脅研究人員多年來不斷警告,物聯網(IoT)漏洞是下一個巨大的威脅,在去年9月出現的IoT殭屍網路之前,就已經讓全世界都了解。威脅的興起和演變都非常迅速,如果安全供應商對這些威脅的研究與反應速度遲緩,那麼客戶也會較晚受到保護。
5.積累資料:威脅研究團隊獲得的資料越多,研究結果的潛力就越大。開明的研究機構分享資訊,而不是私藏訊息。例如,Fortinet除了運用部署在全球的300萬個傳感器蒐集威脅情報之外,還和國際刑警組織、北約組織、韓國網路安全局(KISA),以及網路威脅聯盟(Cyber Threat Alliance,CTA)的其他安全技術廠商積極交換威脅情資。近幾個月來,也成功地在全球引入了更多的政府機構和電信業者。這是一個正向的發展,因為它有助於各個單位建立一個更大的威脅資料庫,來監控、阻止和追蹤惡意軟體的來源。
6.投資研究技術:手動分析威脅資訊的日子已經不再。有效的研究團隊需要先進的工具,來解讀和分析每分每秒傳送過來資料之間的關聯。例如內容模式識別語言(Content Pattern Recognition Languages,CPRL),能藉由單一的特徵檔,協助識別成千上萬個當前和未來的病毒體;至於未來的技術,則要依賴大數據分析和人工智慧(AI)等技術。不久之後,網路安全方面的人工智慧發展,將能不斷因應漸增的受攻擊面。現階段是由人類執行相對複雜的任務,相互連接,分享資料,並將資料套用在系統中,在未來,成熟的AI系統將能夠自行完成許多複雜的決策。
即時因應威脅愈益重要
然而,無論AI有多麼先進,仍無法達到全自動化、隨時百分之百地控制機器執行所有的決策,仍需要人為的介入。
大數據和分析平台雖然可以預測惡意軟體的發展,但無法預測惡意軟體的變種。因為只有人類的頭腦才可以預期,像WannaCry這樣的勒索軟體會將NSA(美國國家安全局)的漏洞,利用工具嵌入尚未更新修補的系統上。
本質上,惡意軟體是跟隨人類而進化,以及人們如何將新技術融入他們日常生活中。如果在未來幾年裡,自駕車和穿戴式物聯網(IoT)設備被廣泛採用,網路犯罪份子勢將一如既往地找到方法來掠奪這些汽車和設備。此外,如果加密貨幣(Cryptocurrencies)今年仍然具備漲勢動能的話,無疑將會吸引駭客的覬覦。
自動化的概念為網路犯罪分子開闢了許多新的可能,同時也讓企業組織備感壓力。由於駭客提升了惡意軟體的自動化程度,所以攻擊不僅會更快地出現在企業組織中,還能縮短入侵和產生影響之間的時間,並學會躲避偵測。越來越多的企業將會需要即時因應威脅狀況,而且是以一種協同的方式,包含整個分散式網路系統、物聯網和雲端。現在並沒有很多企業能做到這一點,然而,這將會是CIO未來應該開始擔心的事情。
<本文作者:謝華,為Fortinet創辦人、總裁暨技術長。>