從WannaCry到NotPetya，2017年全球呈現(xiàn)出了新一輪的網(wǎng)絡(luò)威脅趨勢，一起起攻擊事件以機(jī)器速度（machine-speed）定期占據(jù)著新聞報(bào)道的頭版頭條。一般在遭遇勒索軟件攻擊之后，談?wù)撟疃嗟脑掝}要么是找出攻擊背后的罪魁禍?zhǔn)?，要么是感嘆自身未能及時修復(fù)漏洞，但是現(xiàn)在出現(xiàn)了一個更亟待解決的問題：面對如此高自動化的攻擊趨勢，安全團(tuán)隊(duì)不得不迅速做出響應(yīng)。然而，可悲的是，作為網(wǎng)絡(luò)安全捍衛(wèi)者，我們卻很難跟上攻擊者的步伐。

面對全球超過100萬的網(wǎng)絡(luò)安全專業(yè)人員技能缺口，組織如何才能實(shí)現(xiàn)在復(fù)雜而迅速的攻擊活動中占得先機(jī)，保持主動呢？接下來就為大家提供一些建議，以幫助您能夠在2018年運(yùn)用相同的資源發(fā)揮更大的效用。

1. 讓AI挑大梁

我們正面臨嚴(yán)重的網(wǎng)絡(luò)安全技能短缺現(xiàn)狀，市場對熟練從業(yè)者的需求始終得不到滿足。公司也很難為相應(yīng)的崗位找到合適的人選，但除此之外，分析師必須保持積極性——避免“警報(bào)疲勞”（alert fatigue，即對安全警報(bào)變得麻木，從而忽視或未能準(zhǔn)確地回應(yīng)這樣的警報(bào)）和“心理疲乏”（burnout，即長期從事相同的工作內(nèi)容以致于感到莫名的煩躁和焦慮）。

人工智能技術(shù)不僅可以使我們現(xiàn)有的安全團(tuán)隊(duì)更加高效，而且能夠幫助企業(yè)最大限度地解放人力，使安全團(tuán)隊(duì)可以專注于更高層次的戰(zhàn)略性工作部署。

人工智能技術(shù)可以最大限度地減少誤報(bào)，并提醒安全團(tuán)隊(duì)真正的威脅所在，從而確保您的安全團(tuán)隊(duì)能夠?qū)Ｗ⒂谘芯亢托迯?fù)網(wǎng)絡(luò)上存在的最嚴(yán)重的威脅。

此外，在當(dāng)今時代，企業(yè)想要雇傭一名合適的安全分析師依然是一件很難的事，所以一定要確保其積極性，避免其產(chǎn)生心理上的疲乏，對工作失去熱情和參與度。

2. 招聘過程中重視創(chuàng)新性

現(xiàn)在是時候重新考慮您的招聘策略了。一般來說，大多數(shù)企業(yè)的安全團(tuán)隊(duì)都是由經(jīng)驗(yàn)豐富的安全專家和網(wǎng)絡(luò)分析師組成的，他們主要使用自身累積的經(jīng)驗(yàn)來識別威脅指標(biāo)。然而，具有人工智能技術(shù)加持的新手網(wǎng)絡(luò)安全專家也能夠捕捉到這些威脅，甚至是最具危害性的威脅。

最有效的安全團(tuán)隊(duì)不一定是最大的或最有經(jīng)驗(yàn)的，但絕對是最具多樣化的——技能嫻熟的網(wǎng)絡(luò)專業(yè)人員、工程師、分析師以及直覺靈敏的商業(yè)思想家缺一不可。2018年，我們需要重組和訓(xùn)練我們的安全團(tuán)隊(duì)，配合用于捕獲和應(yīng)對威脅的新型人工智能技術(shù)。

3. 了解企業(yè)內(nèi)部情況

通過可識別的徽章就能順利進(jìn)入辦公大樓，利用有效的密碼就能成功侵入公司網(wǎng)絡(luò)，不得不說，一些影響頗深的違規(guī)事件都是由“內(nèi)部威脅者”引起的——然而這些又往往是最難以發(fā)現(xiàn)的威脅。

根據(jù)Ponemon公司最新的一項(xiàng)研究成果顯示，企業(yè)平均需要花費(fèi)50天的時間來修復(fù)一場惡意的內(nèi)部攻擊活動。但是，對于具有正確訪問級別的員工而言，卻只需要一天時間就能夠獲取到專利藥物配方、正在進(jìn)行的合并項(xiàng)目細(xì)節(jié)或新項(xiàng)目的發(fā)布日期等信息，并將這些信息泄漏給競爭對手。

鑒于此，您應(yīng)該認(rèn)真審視自身并詢問自己一個關(guān)鍵的問題——我的堆棧中是否有可以檢測出內(nèi)部威脅的工具？

企業(yè)對于自己員工的“正常”行為模式往往缺乏理解，更不用說什么流氓設(shè)備或第三方曝光。如果缺乏這方面的認(rèn)知，早期的威脅指標(biāo)往往只能在一片“噪聲”（威脅警報(bào)）中失去效用，讓企業(yè)產(chǎn)生“警報(bào)疲勞”，忽略那些本應(yīng)重視的威脅，使其演變成真正的危機(jī)。

溯源性網(wǎng)絡(luò)防御的時代已經(jīng)結(jié)束，為了準(zhǔn)確檢測內(nèi)部威脅，我們需要能夠快速識別、了解和報(bào)告存在威脅性的用戶和設(shè)備行為的團(tuán)隊(duì)和技術(shù)——提醒我們的團(tuán)隊(duì)更換或改變早期網(wǎng)絡(luò)威脅的指標(biāo)。

4. 少即多：按嚴(yán)重性順序優(yōu)先處理威脅

我們正在淹沒于數(shù)據(jù)之中。ESG研究發(fā)現(xiàn)，38%的企業(yè)會收集、處理和分析超過10TB的數(shù)據(jù)，來作為其每月安全操作的一部分。而Ovum的一份報(bào)告發(fā)現(xiàn)，超過三分之一的銀行每天會收到超過20萬次安全警報(bào)。

對于安全團(tuán)隊(duì)而言，想要找到下一個NotPetya或WannaCry威脅指標(biāo)無異于大海撈針。組織不僅需要找到這種威脅，而且需要在其造成實(shí)際損害之前找到它——換句話說，需要即時／實(shí)時的找到這些威脅。但是現(xiàn)在，你的團(tuán)隊(duì)每天需要對20多萬條警報(bào)進(jìn)行篩選，還如何能夠發(fā)現(xiàn)潛伏在網(wǎng)絡(luò)中的微妙威脅？

我們的安全團(tuán)隊(duì)正面臨著一個不可逾越的難題——對數(shù)以千計(jì)在Web代理日志、反病毒日志以及SIEM日志等之間傳播的這些誤報(bào)進(jìn)行分類——不幸的是，只能得到關(guān)于實(shí)際發(fā)生事件的一個不完整畫面。安全運(yùn)營管理平臺（SOC）需要的最后一樣?xùn)|西是另一種生成大量警報(bào)的工具。

按照嚴(yán)重程度對威脅進(jìn)行可視化和優(yōu)先級劃分，能夠證明“實(shí)時地發(fā)現(xiàn)這些威脅”與“數(shù)百天后發(fā)現(xiàn)這些威脅”之間的區(qū)別。根據(jù)偏離“正常”行為模式的水平，可以對真正的威脅進(jìn)行優(yōu)先級劃分，如此可以方便各種規(guī)模的安全團(tuán)隊(duì)組織快速地調(diào)查、修復(fù)并轉(zhuǎn)移到下一個事件，從而最大限度地節(jié)省了時間也提高了工作效率。

Equifax并不是唯一一家在攻擊發(fā)生后很久才發(fā)現(xiàn)黑客的公司。隨著攻擊速度日益加快、黑客變得越來越聰明，我們需要創(chuàng)造性地進(jìn)行思考，為安全團(tuán)隊(duì)贏回更多時間。人工智能能夠?yàn)槲覀兂袚?dān)很多工作，優(yōu)先處理警報(bào)并自動應(yīng)對輕微的威脅；而戰(zhàn)略招聘則可以使我們的團(tuán)隊(duì)更具效率和活力。這些策略可以為我們和我們的團(tuán)隊(duì)提供更多的時間，專注于優(yōu)先事項(xiàng)和戰(zhàn)略舉措，使我們能夠采取更積極主動的方式進(jìn)行網(wǎng)絡(luò)防御。