有调查显示,威胁情报是企业检测漏洞和优先级排序的关键信息来源,正在成为企业安全运营的“神经”和“大脑”。而基于机器学习的威胁情报系统,是企业提升智能安全运营能力的关键。
近日,Gartner与Vulcan Cyber合作发布的企业威胁情报调查报告揭示了企业威胁情报的现状,以及作为整体安全风险和漏洞管理计划要素的威胁情报源的有效性。GoUpSec指出,根据报告,“所有企业安全团队的重点目标都是更有效地识别威胁并优先处理最关键的漏洞,威胁情报在其中起着至关重要的作用。调查结果显示威胁情报确实能消除盲点,提供关键可见性,降低漏洞风险并优化安全态势。75%的受访者表示威胁情报可以帮助他们的团队至少每周识别一次威胁。”受访企业普遍认同威胁情报是企业检测漏洞和优先级排序的关键信息来源,高达87%的决策者“经常或非常频繁地”依赖威胁情报来确定漏洞优先级,75%的企业拥有专门的威胁情报团队。同样,66%的企业有专门的威胁情报预算。受访企业威胁情报的主要获取来源有三个:商业威胁情报源(78%),其次是社区(OTX)(64%)和社交渠道(61%),暗网(14%)的占比依然不高。调查显示,企业威胁情报的主要用例包括阻止不良IP/URL(64%)以及与其他安全产品集成以全面了解网络卫生状况(63%)等:另一方面,调查也发现企业威胁情报应用面临一些严峻挑战,受访网络安全经理们反应最多的六个问题是:(受访者)缺乏相关相关技能(73%)、威胁情报方案的预测性不足(55%)、缺少专职人员(48%)、缺少工具(38%)、数据孤岛(36%)、投入不足(22%)。高达73%的IT安全经理缺乏必要的威胁情报技能,这表明尽管威胁情报是企业风险管理计划的关键部分,但实际执行中并未得到应有重视。此外,上述调查结果也揭示企业威胁情报工作面临的重大挑战不仅仅是缺乏工具,更需要与之匹配的技能和人才来使用工具,改善企业的安全状况。GoUpSec认为,随着新威胁和漏洞的加速涌现,全球企业安全态势压力不断增加,网络安全支出也将持续增长。根据IDC的数据,到2024年,全球网络安全支出预计将达到1747亿美元,其中安全服务是最突出和增长最快的市场类别,而威胁情报又是安全服务投资的热点。在检测与响应速度决定一切的今天,威胁情报正在成为企业安全运营的“神经”和“大脑”,这意味着它也是人工智能技术在网络安全领域最先开花结果的领域之一。今天,机器学习已经成为未来威胁情报发展的核心动力,结合机器学习和网络威胁情报,计算机能够比人类更快地检测攻击,并在攻击造成重大损失之前阻止它们。企业采用人工智能威胁情报平台来提高检测能力应遵循三大原则:基于机器学习的AI威胁情报产品能够收集输入信息、分析并输出结果。威胁情报是检测攻击的机器学习的重要输入信息,甚至是决定性的:发出攻击警报,或者执行终止攻击的自动操作。众所周知,数据质量对机器学习系统的算法精度会产生重大影响。如果威胁情报包含错误信息,它将向攻击检测工具提供“不良”信息,从而导致工具的机器学习算法“中毒”,输出“不良”结果。许多企业喜欢购买多个来源的威胁情报,这些情报中包含机器可读的攻击指标和证据信源,例如发起攻击的计算机的IP地址和恶意软件的文件名。还有一些威胁情报服务提供人类可读的文字,其中会详细说明最新风险。对于“投喂”给机器学习系统的信源来说,企业应该坚持宁缺毋滥,只选最好的。互联网通信在未来几年会变得更加安全,尤其是随着量子网络的最终诞生,基于网络的威胁即将成为过去。但是,人为错误将继续(永远)存在。员工仍会有意或无意地导致数据丢失,攻击者将越来越多地依赖网络钓鱼和商业电子邮件欺诈(BEC)等社会工程技术。因此,企业的机器学习系统应该将社会工程的检测和响应作为一个重点能力进行投入和培育。如果使用威胁情报和机器学习技术来搭建自动化响应的纵深防御系统,误报会是一个重大风险,误报导致的错误响应很可能对运营产生负面影响。威胁情报只是风险评估的一方面,另外需要理解上下文知识,例如当威胁情报识别出恶意外部IP地址时,上下文知识这可以帮助机器学习从威胁情报中提取更多价值。例如,如果流向恶意IP地址的网络流量来自某个内部数据库服务器,而不是面向大众的邮件订阅服务器,则可能需要启动专门的响应机制。在最开始的“教学”阶段,建议将机器学习系统设置为监控模式,在这种模式下,机器学习系统可以识别出问题。由人类来审查并验证机器学习工具的警报,让它知道哪个是假的。机器学习在收到人类反馈之前无法从错误中学习和进步。如今,网络安全已经进入比拼内功和综合实力的阶段,运营安全是企业网络安全部门的头等大事。随着网络攻击变得越来越复杂,技术和策略迭代越来越快,拥有扎实的网络安全防御设施和出色的网络安全实践比以往任何时候都更加重要。而基于机器学习的威胁情报系统,正是企业打造智能安全运营能力的关键基础。企业需要坚持原则,少走弯路,尽早尽快发育自己的“安全大脑”。墨云科技作为国内领先的网络攻防科技安全服务提供商,一直秉持让网络攻防更智能的使命,不断创造突破性技术,专注人工智能在攻防安全领域的应用研究,打造智能化产品体系,为客户提供全方位的信息安全服务。墨云凭借强大技术实力斩获国家高新技术企业、北京专精特新“小巨人”企业等多项荣誉。目前,墨云科技已在北京、南京、上海、广州、深圳、成都、武汉、济南、西安等多地设有研发中心及分支机构,服务行业客户百余家。目前,墨云科技已研发出多款功能扎实的产品。其中,Vackbot智能自动化风险验证平台是业内首个基于人工智能技术,实现"黑客视角"入侵与攻击模拟的网络安全检测与验证平台,可以自动持续地进行实战化网络攻击模拟,通过攻击杀伤链构建攻击路径并量化风险,帮助客户高效定位潜在的安全隐患与脆弱性,精准验证安全纵深防御体系的有效性。对企业互联网暴露面进行渗透测试,挖掘可被利用的漏洞,突破互联网边界。模拟攻击者在突破防护边界进入内网后的横向移动攻击,挖掘IT系统及网络中存在可以被攻击利用的漏洞,并评估企业所面临的业务风险。对网络安全防护设施及系统的防护能力有效性进行验证,验证企业网络安全防御的实际效果,定位其中防护漏洞或者能力缺失问题。通过持续性的安全检测和监控,为企业安全能力评估提供实时的可视化数据展示及趋势分析。企业通过对资产环境全方位无死角的安全监控,可适时灵活地进行决策,保障资产环境的安全。Vackbot将网络安全风险分析与机器学习相融合,通过“网络攻防知识+数据模型算法”的双赋能驱动,引领下一代智能化“持续安全验证,安全实效度量”的网络安全检测评估技术。
https://mp.weixin.qq.com/s/RrKc0W4NEdzdr_DKsKwycg
https://l.vulcancyber.com/hubfs/Infographics/Vulcan-Cyber-Threat-Intelligence-2022.pdf
https://mp.weixin.qq.com/s/BolUZiu0cDnMBwhwoRTKpQ