叮咚!针对Gartner最新安全趋势的全面解读(第二篇)

Gartner关于2016-2017年的网络安全趋势文和第一篇详细分析不仅在安全圈内被广泛传播,在ISC2016·安全创客汇上,红点创投全球主管合伙人也对这12个趋势表达了极大的认可,认为其代表了安全行业未来发展方向。

本篇是趋势详细解读的第二篇,分析了威胁情报、自适应安全和机器学习。

一、威胁情报

1、什么是威胁情报及威胁情报平台?

Gartner定义的威胁情报(Threat Intelligence,以下简称TI)是关于已出现或新的资产威胁和危险的、基于证据的信息,包括情景、机制、指标、影响和可行建议,可用来通知企业针对相关威胁或危险做出决策。

威胁情报平台(Threat Intelligence Platforms,以下简称TIPs)是用来收集、关联实时数据,并对其分类、整合的一个平台,可优先支持防御行动。同时,还会整合现有安全技术和流程并加以补充,解决了在多个利益相关人和不同群体之间快速分享MRTI的需求。

2、TIPs的特征

收集
TIPs可以从各类资源中获取威胁情报,如开源机读情报来源、商业情报来源、公开情报来源、各类厂商提供的API,并使各种形式的TI标准化,这是TIP区别于SIEM的关键点。
关联
TIPs能够分析、关联、转移或丰富数据,以便得到更多权威信息和数据情景。每一个邮件地址、URL、域名、IP地址或文件都能给已有威胁提供一个更具说服力、更完整的图像。
分类
一旦收集并关联了信息,分析师就可以分类、找出威胁情报。对IP地址、MD5签名、主机入侵标志、域名和URL等进行分类和补充。分析师可以对威胁主体群、ISP或其他允许建立配置文件的共性进行分类。
集成
一个功能齐全的TIPs能够集成海量上游资源中的信息流,并将其转化,用于大量的下游工具。
行动
一般来说,TIPs不会自动采取行动,它们更多地是一种进程,自动化和分析工具,但是一些TIP为用户提供了触发行动任务的能力,这些行动一般由其他用户来完成,以便让大量用户在事件前或事件中采取协调式工作流程。
共享
快速分享威胁情报的强化能力是TIP的一个重要特征,也是区别于其他平台的区分点。采用TIP分享情报有两种方式:内部分享+外部分享,TIPs一个最大的好处就是能够创建并加入一个“信任圈”,与其他企业分享情报。

3、应用

Gartner在报告The Five Characteristics of an Intelligence-Driven Security Operations Center中特别提到,安全运营中心体系架构必须接入安全情报,充分感知安全环境,以情报作为驱动力。

17

Gartner认为必须建立威胁情报平台,才能实现威胁情景可视化、互相关联、感知情景。
二、自适应安全

1、什么是自适应安全架构?

自适应安全架构(Adaptive Security Architecture,以下简称ASA)是Gartner于2014年提出的面向下一代的安全体系,云时代的安全服务应该以持续监控和分析为核心,覆盖防御、检测、响应、预测四个维度,可自适应于不同基础架构和业务变化,并能形成统一安全策略应对未来更加隐秘、专业的高级攻击。

5

2、ASA四大功能简介

防御
包括预防攻击的现有策略、产品和进程。通过降低攻击面来提高攻击门槛,拦截攻击者,阻断攻击方法,加固保护应用。
检测
用于发现、规避战略攻击。检测目的在于减少威胁的停留时间,进而减少威胁可能造成的损害。在发现攻击后,及时确认并给事件作优先排序,紧急处理高危事故,防止事件升级。
响应
调查、修复检测能力(或外部服务)发现的问题。能提供取证分析、根因分析、新的预防措施以避免未来事件发生。
预测
预测能力使安全企业可从外部监测黑客行动,主动预测针对当前系统状态和数据的新型攻击,主动评估风险并优先解决暴露的问题。还能设立安全基线,用于向“防御”和“检测”提供反馈。

3、ASA最佳实践

防御
(1)在持续攻击的时代,企业需要转变安全思维:从“应急响应”转变为“持续相应”,认清持续监控的必要性。
(2)提高防御能力要从强化战略防御开始,比如把EPP产品/服务更新到最新版本、增加网络沙箱实现深度防御、利用威胁情报feeds升级网络边界安全、利用白名单保护服务器、采用weib应用程序安全测试服务。
检测
(1)大多数企业没有信息安全人员来专门管理和监控每种检测和响应方案,也无法实现7 X 24小时的检测和响应服务。所以可以考虑将威胁检测作为一项托管服务。
(2)可以给EPP厂商施压,增加终端检测和响应(EDR)功能,减少agent部署量、降低开支。
(3)迅速隔离被感染系统和账户,防止其感染其他系统。常见的隔离能力包括:端点隔离、账户封锁、网络层隔离、系统进程关闭。
响应
(1)调查审计:当被感染的系统和账户被隔离后,要回溯分析事件过程,利用持续监控得到的数据,从根本原因上解决再次感染的可能。
(2)确定响应模型后,利用安全联动系统来实现自动化响应。
(3)为预防新攻击,企业需要更改某些策略和控制,如关闭漏洞、关闭网络端口、升级系统配置、修改用户权限或者提升信息防护选项的强度。
预测
(1)持续更新对终端设备、服务器系统、云服务、漏洞和接口设定的安全基线。
(2)通过检测黑客意图、关注黑客市场和新闻,培养对信息的敏感性,以帮助企业调整安全策略应对未知的攻击。
(3)主动对企业资产进行风险评估、预测威胁。

Gartner发现,ASA除了在技术领域有利于企业构建完整可靠的安全体系外,还有助于企业CISOs沟通地更清晰、流程,为企业使用ASA提供更多资源。

Gartner在2015年的安全趋势预测中,就把自适应安全架构作为其中之一,今年它仍然处于趋势核心,足见其可用性和可靠性。
三、机器学习

1、什么是机器学习?

Gartner认为机器学习(Machine Learning,以下简称ML)是数据科学中的一项关键技术,能加快数据学习能力,解决传统方法如人工判断、软件工程无法应对的复杂、数据详细的商业问题。

由于数字化时代中,传感数据越来越多、带宽在逐渐扩大、存储成本也在降低,机器学习的利用率也越来越高。

2、ML异军突起原因

数据库
1、用户交互、社交媒体、尤其是相互关联的设备和机器产生的数据库越来越庞大;
复杂性
2、相关子系统的复杂性以及它们之间的交互行为导致系统在不断变化,即便最聪明的工程师也无法全部理解所有变化;
交付
3、人们意识到传统系统工程在交付节约成本的解决方案时遇到了瓶颈;
环境
4、内存存储成本降低、计算机硬件处理速度加快、云解决方案使用更加方便。

3、ML运维要求

ML
在商业环境中,机器学习会从理解业务开始,通过理解、加载转换、测试数据和特征工程,形成一个适用于该环境的模型。

Machine Learning Drives Digital Business中,Gartner表明机器学习在过去十年间几乎是万能的,如今在数字化商业时代更是发展的如鱼得水。到2020年,数据科学,尤其是机器学习,将在软件工程流程中发挥至关重要的作用,最少50%的高级软件工程师都要基本了解这门技术。

小结

根据Gartner调查,76%的企业认为威胁可视化是公司安全的最大障碍。Gartner希望TIPs厂商的功能丰富程度和服务数量都能有所提升,推动MRTI集成化浪潮。

在解决绕过传统安全防护机制的高级威胁时,基础架构和运营(I&O)领导需要一个自适应保护进程来检测、响应安全漏洞。

现在机器学习的应用范围很广泛,如数字化生产、风险和欺诈管理、智能交通、供应链流程等;云安全市场中,机器学习也逐渐成为一个重要趋势。

 

青藤 科普
提起机器学习,就不得不解释什么叫做data science(数据科学),这是一门利用数据学习知识的学科,其目标是通过从数据中提取出有价值的部分来生产数据产品。数据科学结合了诸多领域中的理论和技术,包括应用数学、统计、模式识别、机器学习、数据可视化、数据仓库以及高性能计算等。你get到了吗?
叮咚!这是针对GARTNER对应用运行时的自我保护、以数据为核心的审计和保护、软件定义网络的全面解读

One comment

发表评论

电子邮件地址不会被公开。 必填项已用*标注