網路威脅情資共享機制將有助資安團隊的效益倍增

作者 | 發布日期 2020 年 10 月 23 日 15:34 | 分類 網路 , 資訊安全 , 雲端 Telegram share ! follow us in feedly


當今的數位化轉型浪潮中,傳統的安全模型已過時,其中問題如下:

  1. 安全邊界已轉移,用戶如今可隨時隨地直接訪問雲端的應用程式。
  2. SD-WAN 推動網路轉型,各分支機搆將直接連接互聯網,但又無法複製總部的完整安全堆疊。
  3. 物聯網的發展,導致使用非標準協定的設備激增。
  4. 大多數安全系統都很複雜,很難輕鬆地相應擴展以保護類似的動態環境。

此外,安全營運團隊人員嚴重短缺(根據最新的 ISC2 報告,全球的安全運營人員缺口高達 293 萬),還使用獨立的工具和手動流程收集資訊,每天必須處理成百上千條警報。

網路架構越來越大,也面臨到各式各樣的惡意攻擊與行為的出現,各企業採購了多樣化的資安設備以應對當今的惡意攻擊,在不同的設備、多樣性的管理介面中,有各自獨立的安全威脅情資資料庫,內容不一致且當中有大量情資是重覆的,在如此龐大的資料庫中,企業該如何應對重覆性資料造成儲存空間負擔的問題,與情資調查應對的速度呢?

善用威脅情資加強基礎設施防禦

威脅情資是有證據支持的訊息,包括現有、新威脅及危害事件的脈絡、作用機制、跡象指標、影響破壞和可行的建議,是使用者決定如何響應威脅或危害的助手。威脅可能來自內部和外部,惡意 IP 地址、主機名、網域名和 URL,都是威脅發生的幾種可能形式。

組織必須應對威脅,並因此承受巨大壓力。網路充斥大量原始數據,但要用以增強態勢的可見性,或是摸索多方面的網路事件脈絡來理解大量數據,這麼做不但困難,也非常耗時。此外,系統各自為政,安全運營人員每天必須處理的警報成百上千,已讓他們疲於奔命。

Infoblox 威脅情資團隊提供 TIDE(Threat Intelligence Data Exchange)可將威脅情資彙整轉換成機器可讀的數據,並將這些數據廣泛分享給第三方平台,例如 NGFW、SIEM、Web Proxy 等系統,使各自獨立的設備系統同步共享威脅情資,保持所有設備情資的一致性,減少重覆情資存在組織內部的問題,透過這些情資能使企業組織有效防禦並快速應對網路安全威脅。

TIDE 由 Infoblox 威脅情報團隊研究,經過標準化流程,提供高品質且完整的威脅情資,有來自全球 20 幾種威脅情資資料庫與 300 種以上的威脅情資屬性,能夠使組織減輕各種內部與外部來源的威脅情資所耗費的成本,並有效、快速地防禦網路威脅。

 

完整情資資訊減輕人力及加快反應速度

除了有效的整合威脅情資,保持內部所有設備的一致性以外,威脅事件調查的工作也是企業安全不可或缺的程序,當企業內部系統發生告警時,需要針對事件進行調查,通常調查人員會需要從不同的情資威脅分析平台搜尋對該事件的描述,加以評估如何決策,重覆地查詢分析與切換平台查看所耗費的時間,意味著企業暴露在風險中的時間更長,惡意行為很可能更進一步的危害企業組織。

Infoblox Dossier 威脅即時調查工具,在單一平台提供數十種威脅情資來源的資訊,企業組織無須耗費人力來開發與維護內部調查工具,無須花費數個月、數周或數天的時間進行調查,透過 Dossier 提供豐富的威脅環境情資,對事件的威脅等級進行優先級排序,可以更快速得到精準的情資資訊,使調查分析人員能夠節省時間以應對任何已知的威脅,做出最快速、正確的判斷,縮短企業組織處於風險、受威脅攻擊的時間。

(圖片來源:Infoblox  首圖來源:Shutterstock)