CTO专栏 | 威胁情报,设备之外的安全能力

Fortinet 创始人兼CTO 谢华

网络攻击手法日趋纯熟及精密并具破坏性。从网络安全商角度来看,为众多每天受到攻击的企业解决问题成为日益严峻的挑战。

现代网络安全技术,假设企业已具备所需的专业人员、政策和流程,但部署时仍需审视潜在的攻击。

除却盒子,也就是硬件安全设备以外,一些看不见的安全能力,无疑也是网络安全防御中不可或缺的,这就是威胁情报(Threats Intelligence),或者更具体的来讲,能够使安全设备在不断变化的威胁环境中,迅速进行威胁响应的一种能力。

获得即时及准确预测威胁情报比所想困难,背后需要一个强大的研发部门,包括以下几个重要组成部分:

1.分而治之 — 在大多业务范畴,大型团队等于较高产量输出。然而,利用传统手法打撃网络犯罪分子已经没效。根据我的经验,有效威胁研究部门应由多个小队组成,而每个团队都会专注于特定类型的威胁。这样可以重点提升专业水平和竞争能力,从而提升效率并识别更多威胁,缩短客户面对威胁的时间。

2.保持团队灵活性 — 威胁研究团队必须灵活应对。网络威胁环境变化只需一天、数小时甚至数分钟。团队必须能够调整自己的优先次序,集中注意力在其领域。譬如说,Fortinet会根据威胁形势演变预测更新研究计划。在确定新方向后,挑选最适合的研究人员加入指定团队,深入评估新出现的威胁。最近威胁例子包括物联网、勒索软件(Ransomware)和自主恶意软件(Autonomous Malware)。

3.综观全局 — 企业应鼓励研究人员大处着眼按其兴趣工作,即使其兴趣范畴与公司产品没有直接联系。例如,物联网漏洞研究可以加深企业安全供应商对威胁环境趋势的影响 。

4.提升直觉力 — 研究团队的领队必须培训其团队对威胁识别的敏锐度,以确保攻击在发生前已经可以辨识该潜在威胁。例如去年9月Mirai 僵尸网络入侵物联网,专业网络威胁研究员已于多年间作出物联网漏洞将是下一个重大威胁警告。威胁发展迅速和多变, 如果网络安全商在安全研究上滞后,客户的网络就会受到威胁。

5.收集数据—威胁研究团队获得越多数据,研究成果就越显著。在Fortinet,我们除了利用遍布全球的300万个感应器外,还会积极地透过网络威胁联盟(Cyber Threat Alliance)与国际刑警组织(INTERPOL)、KISA及其他网络安全商交换威胁情报。近几个月来, Fortinet成功与全球更多机构和营运商合作,帮助各方建立更大规模的威胁数据库来监控、防止和追溯恶意软件攻击的源头。

6.研究技术的投入 — 有效的研究团队需要先进工具协助分析每秒接收的庞大数据。虽然现时我们有内容模式识别语言(CPRLs:Content Patteren Recognition Languages),帮助识别成千上万的当前、未来病毒变体。在不久的将来,我们将会依靠大数据分析和人工智能(AI)等技术进行分析,AI 将帮助网络安全不断适应持续增长的攻击面。未来,一套成熟的人工智能系能够自动完成这些复杂的决策。

无论AI发展得多先进,甚至全自动化,让机器自行作出所有决定的也是不可能的,人为干预仍是必需的。大数据和分析平台可以预测恶意软件的发展,却不能防止恶意软件突变。

基本上恶意软件会随着互联网的发展,及我们于日常生活中技术应用演变。例如,如果在未来几年,无人驾驶车和可携式物联网装置被广泛使用,网络犯罪分子将会一如既往地寻找方法攻击这些汽车和设备。同样地,如果加密货币(Cryptocurrencies)在今年内继续维持高利率水平,将会吸引黑客入侵。

自动化概念为网络犯罪分子开拓很多新可能性,对企业威胁加剧。由于黑客在恶意软件中加强其自动化攻击能力,这些程序化设计不但加快攻击速度,还缩短从发动攻击到造成损害之间的时间,同时具有避开侦测的能力。企业需要在分布式网络生态系统中,从物联网到云端层面,透过协调一致的方式进行实时回应。现时未有太多企业有能力作出如此措施,这正是IT总监们应该开始着手改善的事情。