当今的数字化转型浪潮中,传统的安全模型已过时,其中问题如下:
- 安全边界已转移,用户如今可随时随地直接访问云端的应用程序。
- SD-WAN 推动网络转型,各分支机构将直接连接互联网,但又无法复制总部的完整安全堆叠。
- 物联网的发展,导致使用非标准协定的设备激增。
- 大多数安全系统都很复杂,很难轻松地相应扩展以保护类似的动态环境。
此外,安全营运团队人员严重短缺(根据最新的 ISC2 报告,全球的安全运营人员缺口高达 293 万),还使用独立的工具和手动流程收集资讯,每天必须处理成百上千条警报。
网络架构越来越大,也面临到各式各样的恶意攻击与行为的出现,各企业采购了多样化的资安设备以应对当今的恶意攻击,在不同的设备、多样性的管理界面中,有各自独立的安全威胁情资数据库,内容不一致且当中有大量情资是重复的,在如此庞大的数据库中,企业该如何应对重复性资料造成储存空间负担的问题,与情资调查应对的速度呢?
善用威胁情资加强基础设施防御
威胁情资是有证据支持的讯息,包括现有、新威胁及危害事件的脉络、作用机制、迹象指标、影响破坏和可行的建议,是使用者决定如何响应威胁或危害的助手。威胁可能来自内部和外部,恶意 IP 地址、主机名、网域名和 URL,都是威胁发生的几种可能形式。
组织必须应对威胁,并因此承受巨大压力。网络充斥大量原始数据,但要用以增强态势的可见性,或是摸索多方面的网络事件脉络来理解大量数据,这么做不但困难,也非常耗时。此外,系统各自为政,安全运营人员每天必须处理的警报成百上千,已让他们疲于奔命。
Infoblox 威胁情资团队提供 TIDE(Threat Intelligence Data Exchange)可将威胁情资汇整转换成机器可读的数据,并将这些数据广泛分享给第三方平台,例如 NGFW、SIEM、Web Proxy 等系统,使各自独立的设备系统同步共享威胁情资,保持所有设备情资的一致性,减少重复情资存在组织内部的问题,透过这些情资能使企业组织有效防御并快速应对网络安全威胁。
TIDE 由 Infoblox 威胁情报团队研究,经过标准化流程,提供高品质且完整的威胁情资,有来自全球 20 几种威胁情资数据库与 300 种以上的威胁情资属性,能够使组织减轻各种内部与外部来源的威胁情资所耗费的成本,并有效、快速地防御网络威胁。
完整情资资讯减轻人力及加快反应速度
除了有效的整合威胁情资,保持内部所有设备的一致性以外,威胁事件调查的工作也是企业安全不可或缺的程序,当企业内部系统发生告警时,需要针对事件进行调查,通常调查人员会需要从不同的情资威胁分析平台搜寻对该事件的描述,加以评估如何决策,重复地查询分析与切换平台查看所耗费的时间,意味着企业暴露在风险中的时间更长,恶意行为很可能更进一步的危害企业组织。
Infoblox Dossier 威胁即时调查工具,在单一平台提供数十种威胁情资来源的资讯,企业组织无须耗费人力来开发与维护内部调查工具,无须花费数个月、数周或数天的时间进行调查,透过 Dossier 提供丰富的威胁环境情资,对事件的威胁等级进行优先级排序,可以更快速得到精准的情资资讯,使调查分析人员能够节省时间以应对任何已知的威胁,做出最快速、正确的判断,缩短企业组织处于风险、受威胁攻击的时间。
(图片来源:Infoblox 首图来源:Shutterstock)
