在本文中,專家Kevin Beaver將探討企業(yè)如何學(xué)習(xí)Facebook的ThreatData框架安全分析來(lái)加強(qiáng)企業(yè)防御。
自成立以來(lái),F(xiàn)acebook一直是網(wǎng)絡(luò)攻擊的目標(biāo)。他們積極抵御惡意軟件和防止欺詐,并且他們?cè)谶@方面的努力經(jīng)常見(jiàn)諸報(bào)端。然而,可以很公平地說(shuō),F(xiàn)acebook面臨的實(shí)際威脅更加嚴(yán)峻。
當(dāng)面對(duì)威脅時(shí),知識(shí)就是力量。很多企業(yè)都認(rèn)識(shí)到威脅分析和安全分析的重要性,它們不僅可以幫助阻止當(dāng)前威脅,還可以提高事件響應(yīng)。最近,F(xiàn)acebook宣布通過(guò)其ThreatData框架進(jìn)軍大數(shù)據(jù)安全分析領(lǐng)域。
在本文中,我們將討論什么是ThreatData框架,它是如何工作的以及為什么企業(yè)應(yīng)該知道它的存在,還有信息安全專業(yè)人員可以從中學(xué)到什么來(lái)更好地管理企業(yè)面臨的威脅。
ThreatData框架內(nèi)部
對(duì)于ThreatData,F(xiàn)acebook聲稱它能夠快速收集、處理和分析大量數(shù)據(jù),以及時(shí)對(duì)出現(xiàn)的威脅作出反應(yīng)。
這個(gè)大數(shù)據(jù)安全分析框架包括三個(gè)主要部分:
數(shù)據(jù)收集:這是從Facebook內(nèi)部和外部的各種來(lái)源收集的各種格式的數(shù)據(jù)(被稱為ThreatDatum),這些來(lái)源包括VirusTotal、Web瀏覽器擴(kuò)展和專門從事這種數(shù)據(jù)收集的安全供應(yīng)商。
數(shù)據(jù)存儲(chǔ):這些是存儲(chǔ)數(shù)據(jù)和提取威脅情報(bào)的庫(kù),被稱為“Hive”或者“Scuba”。
實(shí)時(shí)響應(yīng):這是Facebook對(duì)威脅的響應(yīng),其中包括URL阻止和安全信息及事件管理(SIEM)集成。
從本質(zhì)上講,ThreatData對(duì)互聯(lián)網(wǎng)正在發(fā)生的惡意活動(dòng)提供了更全面和更大的可視性。這些發(fā)現(xiàn)和檢測(cè)功能正是大多數(shù)企業(yè)的信息安全計(jì)劃中缺乏的功能。與SIEM的優(yōu)勢(shì)類似,這種詳細(xì)程度允許信息安全專業(yè)人員能夠看到更大的視圖,而不是更為典型的對(duì)產(chǎn)品或功能孤島的安全管理。
ThreatData框架對(duì)一般企業(yè)意味著什么
那么,為什么這會(huì)有用呢,特別是對(duì)于與Facebook不怎么相關(guān)的企業(yè)?
ThreatData框架是創(chuàng)新框架類型的模型,高風(fēng)險(xiǎn)企業(yè)正在部署這種框架來(lái)解決已知和新出現(xiàn)的安全威脅,并且,這可能為一般企業(yè)提供很多經(jīng)驗(yàn)教訓(xùn)。
雖然大多數(shù)企業(yè)沒(méi)有Facebook那樣的安全資源,但該框架的很多威脅情報(bào)“功能”并不需要大量資源,企業(yè)可以利用最新釣魚(yú)網(wǎng)站上的信息、互聯(lián)網(wǎng)中的惡意軟件以及應(yīng)對(duì)這些威脅的相關(guān)趨勢(shì)。
[page]
另外,企業(yè)可以外包部分(如果不是全部)這些功能到很多第三方供應(yīng)商(例如Dell SecureWorks和Alert Logic),包括對(duì)企圖攻擊、已知網(wǎng)絡(luò)惡意軟件感染以及需要注意的行為和簽名發(fā)出警報(bào),包括實(shí)時(shí)修復(fù)Web應(yīng)用防火墻等技術(shù)。
在很多企業(yè),特別是中小企業(yè),負(fù)責(zé)安全的人員通常不知道在特定時(shí)間事物所處的位置。即使企業(yè)選擇外包這些服務(wù),他們通常沒(méi)有足夠的人力或者利基安全專業(yè)技術(shù)來(lái)及時(shí)合理地管理這些威脅,更不用說(shuō)響應(yīng)威脅。但是,企業(yè)仍然有機(jī)會(huì)來(lái)獲得對(duì)企業(yè)環(huán)境的控制權(quán)。
企業(yè)防御的真相
雖然了解敵人很重要,但這并不夠。很多企業(yè)忘記信息風(fēng)險(xiǎn)由威脅和漏洞組成。企業(yè)永遠(yuǎn)無(wú)法真正消除威脅,不過(guò)這沒(méi)關(guān)系,畢竟,如果企業(yè)不存在涉及補(bǔ)丁、密碼和保護(hù)不當(dāng)信息的漏洞,這些威脅還何以構(gòu)成風(fēng)險(xiǎn)呢?
每周我們都會(huì)看到有關(guān)“重要新威脅”的頭條新聞以及關(guān)于“你現(xiàn)在必須抵御的威脅”的聳人聽(tīng)聞的故事。雖然這些消息很嚇人,但大多這些問(wèn)題并不需要對(duì)企業(yè)的安全做法做出重大改變。來(lái)自Verizon、Trustwave等的研究顯示,攻擊者通常會(huì)瞄準(zhǔn)來(lái)自微軟、甲骨文、Adobe和思科的最常見(jiàn)的更新產(chǎn)品中的基本的(和可修復(fù)的)漏洞,這些是企業(yè)必須首先解決的問(wèn)題。
企業(yè)必須優(yōu)先完成這些工作。大多數(shù)企業(yè)不需要新的工作目標(biāo);目標(biāo)幾乎總是在他們眼前。企業(yè)不應(yīng)該對(duì)相同的老問(wèn)題投入金錢、人力資源和新技術(shù),企業(yè)首先需要糾正導(dǎo)致問(wèn)題的情況。如果企業(yè)不解決這些問(wèn)題,無(wú)論他們部署任何威脅情報(bào)框架來(lái)獲取情報(bào),都無(wú)法解決根本問(wèn)題。
這并不是說(shuō)Facebook的ThreatData框架不會(huì)為其業(yè)務(wù)增值,或者從長(zhǎng)遠(yuǎn)來(lái)看幫助那些利用或允許Facebook訪問(wèn)的企業(yè)。但這對(duì) Facebook的用戶群肯定是好的。這種系統(tǒng)并不會(huì)對(duì)企業(yè)安全團(tuán)隊(duì)正試圖完成的任務(wù)帶來(lái)影響。企業(yè)作出的每個(gè)安全決策都需要考慮關(guān)于現(xiàn)有和新威脅的全面而詳細(xì)的信息,例如ThreatData框架提供的信息。此外,有些安全漏洞不受企業(yè)的直接控制,例如零日漏洞和Android中的無(wú)數(shù)漏洞。
企業(yè)需要明智地選擇其安全做法。ThreatData框架等大數(shù)據(jù)技術(shù)并不能解決企業(yè)所有的安全問(wèn)題,但它們肯定可以補(bǔ)充企業(yè)的安全方案,甚至能夠?yàn)槊媾R高級(jí)威脅的企業(yè)提供價(jià)值。企業(yè)能做的最好事情就是從ThreatData中學(xué)習(xí)經(jīng)驗(yàn)。Facebook不僅有強(qiáng)有力的安全事件檢測(cè)和響應(yīng)做法,而且他們還能夠看到更大的視圖??梢哉f(shuō),響應(yīng)是新的檢測(cè)。這并不是在于阻止攻擊者利用所有已知漏洞,而是在于如何最小化對(duì)網(wǎng)絡(luò)的影響。Facebook的 ThreatData框架超越了傳統(tǒng)NIST和ISO-IEC安全標(biāo)準(zhǔn),它可以作為構(gòu)建更全面的方法和管理信息安全風(fēng)險(xiǎn)的基礎(chǔ)。