信息來源:FreeBuf
網(wǎng)絡(luò)威脅情報(Cyber threat intelligence,簡稱CTI)以及作為其立足根基的安全運營正在更為廣泛的業(yè)務(wù)體系中快速增長。根據(jù)研究結(jié)果顯示,93%的受訪者表示他們至少在一定程度上意識到了網(wǎng)絡(luò)威脅情報帶來的助益。然而,只有41%的受訪者開始將網(wǎng)絡(luò)威脅情報整合至現(xiàn)有安全規(guī)劃當中,而只有27%完成了全面整合。盡管這些數(shù)字確實凸顯出情報驅(qū)動型安全規(guī)程已經(jīng)獲得良好的發(fā)展趨勢,并被廣泛視為最佳實踐,但對大多數(shù)企業(yè)而言仍有很長的摸索道路要走。
優(yōu)秀的網(wǎng)絡(luò)威脅情報能夠幫助企業(yè)預(yù)見、應(yīng)對并解決威脅因素。雖然優(yōu)秀的情報當中必然包含大量內(nèi)容,但企業(yè)絕不能單純依靠內(nèi)容來驅(qū)動整個運營體系中的價值實現(xiàn)方式。企業(yè)管理者需要著眼于團隊定位,并借此取得成功。豐富的上下文情報需要配合充分準備及基礎(chǔ)性能力方可最大程度發(fā)揮價值。
下面就為大家總結(jié)幾點關(guān)于如何將威脅情報整合到安全意識項目中的指導(dǎo)意見:
一、在理性范圍內(nèi)詳細闡述針對您組織的實際或即將發(fā)生的攻擊
實施安全意識項目最令人沮喪的一點是,許多人似乎都認為他們的組織不太可能成為攻擊者的目標,或者根本就不具備吸引攻擊者的能力;當然,也有部分人認為組織已經(jīng)部署了足夠的安全計劃,所以他們不必擔心任何潛在的攻擊,或者只是單純地認為這種攻擊不會發(fā)生在他們自己身上。因此,對于參與安全意識項目的人員來說,安全策略和指是比有價值的業(yè)務(wù)功能更令人討厭的東西。
雖然安全意識項目的意圖不應(yīng)該是嚇唬人,但還是必須要努力溝通,詳細說明企業(yè)存在的亟需解決的問題。只有具備這種認識,人們才能夠相信這種威脅確實有可能會發(fā)生在他們自己身上,并且有動力采取正確的行動來捍衛(wèi)自身和企業(yè)安全。
二、當自身沒有合適案例引用時可以借助熱門新聞事件
類似Anthem、Sony、Google、CENTCOMM以及其他有價值的熱門攻擊事件,似乎在一次又一次地證明,網(wǎng)絡(luò)攻擊活動正在進行中,而且大多數(shù)攻擊活動都是人為失誤造成的直接結(jié)果。你可以強調(diào),所有這些組織都從未想過這種攻擊活動會發(fā)生在自己身上,但是它們卻都毫無例外地成為了熱門攻擊事件的受害者,并由此損失了數(shù)千萬美元以及無法估量的名譽成本。
需要理解的一點是,利用最終用戶的攻擊活動正在進行且日漸普及,此前發(fā)生的種種案例都表明,這種威脅已經(jīng)迫在眉睫。
三、詳細說明需要注意什么問題
當你告知人們可能存在的威脅,為人們采取行動提供充足的動機時,你同樣需要告知他們需要具體提防什么問題。例如,如果“敘利亞電子軍組織”即將發(fā)動攻擊活動,你可以通知你的用戶注意提防釣魚信息。你可以告知他們預(yù)期的釣魚信息類型,并為他們提供敘利亞電子軍組織以前使用過的釣魚信息示例作為參考。
另外,很多人都受到了Anthem攻擊事件的影響,當時,Anthem數(shù)據(jù)泄露事件剛曝光,就有很多網(wǎng)絡(luò)罪犯開始利用這些最新泄露的Anthem數(shù)據(jù)來說服人們注冊偽造的信用保護服務(wù),并誘導(dǎo)他們提供相關(guān)的個人信息。據(jù)悉,這些郵件看起來好像來自Anthem公司,它會讓接受者點擊郵件中的鏈接,并欺騙他們說這是為了獲取信用監(jiān)測服務(wù),進而獲取他們的個人信息。經(jīng)歷此事的受害者都意識到了釣魚電子郵件的危害性,你也可以利用此次事件來提高用戶的整體安全意識。
總之,無論潛在的攻擊媒介是什么,你都應(yīng)該在詳細闡述潛在威脅后,提醒人們應(yīng)該注意的具體事項。
四、制定響應(yīng)策略
只是簡單地告訴人們需要提防什么可能只會徒增煩惱或恐懼。你還需要為人們提供具體的行動方案,以便在遭遇攻擊時能夠及時采取行動。當然,該行動方案必須具體化,并且應(yīng)該包含如何防止攻擊?由誰負責上報潛在的攻擊事件?以及上報給誰等等。
簡單來說,你需要告訴人們應(yīng)該做什么或不該做什么,但這只能阻止針對個人的攻擊活動無法取得成功。攻擊者可能很快就會轉(zhuǎn)向下一個潛在受害者,這時候如果有人負責上報正在發(fā)生的攻擊活動,那么安全團隊就能夠立即采取行動,防止攻擊者針對安全意識薄弱的受害者實施攻擊。
例如,如果是涉及釣魚信息,那么安全團隊可以將郵件副本從電子郵件服務(wù)器中刪除,以免安全意識薄弱的人員中招。如果你知道有人被重定向到攻擊者定制的釣魚域名中,你可以采取措施阻止該域名。當然,你也可以向所有人發(fā)布更具體的信息,告知他們實際攻擊的具體性質(zhì),這也有主意人們意識到針對貴組織的攻擊是真實存在的。
五、確保安全團隊了解情報及推薦的行動方案
你不應(yīng)該理想當然地認為,安全團隊可能已經(jīng)完全意識到問題所在以及如何響應(yīng)。你必須明確地知道安全團隊了解情報以及如何正確響應(yīng)。而對于“安全團隊”也應(yīng)該予以更為廣泛地定義,包括幫助臺(或任何接收與安全相關(guān)呼叫的人員)、電子郵件管理員、網(wǎng)絡(luò)管理員、物理安全人員,以及可能負責采取措施(一旦存在潛在攻擊的情況)的任何其他小組。
這些人需要明確地了解自己的責任。他們需要知道如何響應(yīng)向其報告潛在攻擊事件的用戶,知道針對潛在攻擊可以采取的具體行動方案。再次強調(diào),他們的行動方案具體取決于他們的角色和職責,但他們必須事先明確這些行動方案。你一定不希望看到,在用戶正確響應(yīng)并上報潛在攻擊事件后,接收這些威脅情報的人卻不知道該怎么做吧!
總結(jié)
創(chuàng)建正確的意識、行動和溝通文化有助于改善事件檢測和響應(yīng)。當涉及到潛在攻擊時,你的用戶就會率先反應(yīng)并活躍起來,這將大幅提高安全團隊的效率,以指數(shù)級水平增強威脅檢測和響應(yīng)的能力。
在理想的世界里,人們應(yīng)該時刻警惕潛在的攻擊并指導(dǎo)應(yīng)該如何應(yīng)對。再次強調(diào),這一切卻并未實現(xiàn)在我們的現(xiàn)實世界中。雖然我們不希望任何組織成為攻擊者的目標,但事實是,幾乎每個組織都已經(jīng)或正在成為持續(xù)性攻擊的潛在受害者。Anthem數(shù)據(jù)泄露事件所觸發(fā)的郵件欺詐活動使得眾多組織和用戶淪為潛在目標,而可以肯定的是,這種類型的攻擊并非絕無僅有的。
但是,好消息是,這種潛在的和實際的攻擊活動可以作為促進企業(yè)安全意識項目的有效催化劑,所以,千萬不要浪費這些持續(xù)的、令人難以置信的機會,抓緊實踐起來吧!