在當今數位化轉型浪潮中,傳統的安全模型已經過時。為什麼我們可以如此斷言呢?從以下四點趨勢可以看得出來。
- 安全邊界已轉移,用戶如今可隨時隨地直接訪問雲端的應用程式。
- SD-WAN 推動網路轉型,各分支機搆將直接連接互聯網,但又無法複製總部的完整安全堆疊。
- 物聯網的發展,導致使用非標準協定的設備激增。
- 大多數安全系統都很複雜,很難輕鬆地相應擴展以保護類似的動態環境。
此外,安全營運團隊人員嚴重短缺(根據最新的 ISC2 報告,全球的安全運營人員缺口高達 293 萬),再加上使用獨立的工具和手動流程收集資訊,每天必須處理成百上千條警報,根本分身乏術。
當網路架構越來越大,面臨到各式各樣的惡意攻擊與行為的出現,企業也採購了多樣化的資安設備以應對當今的惡意攻擊。在不同的設備、多樣性的管理介面中,有各自獨立的安全威脅情資資料庫,內容不一致且當中有大量情資是重覆的,在如此龐大的資料庫中,企業該如何解決重覆性資料造成儲存空間負擔的問題,並加快情資調查的應變速度呢?
善用威脅情資加強基礎設施防禦
威脅情資是有證據支持的訊息,包括現有與全新的威脅,以及危害事件的脈絡、作用機制、跡象指標、影響破壞和可行的建議,是使用者決定如何面處理威脅或危害的助手。威脅可能來自內部或外部,不論是惡意 IP 地址、主機名、網域名還是 URL,都是威脅發生的幾種可能形式。
組織必須應對威脅,也因此承受了巨大壓力。網路上充斥大量原始數據,但要摸索各種面向的網路事件脈絡來理解大量數據,這麼做不但困難,也非常耗時。此外,系統各自為政,安全運營人員每天必須處理成百上千的警報,實在讓他們疲於奔命。
Infoblox 威脅情資團隊提供的 TIDE(Threat Intelligence Data Exchange),可將威脅情資彙整轉換成機器可讀的數據,並將這些數據廣泛分享給第三方平台,例如 NGFW、SIEM、Web Proxy 等系統,使各自獨立的設備系統同步共享威脅情資,保持所有設備情資的一致性,減少重覆情資存在組織內部的問題,透過這些情資能使企業組織有效防禦並快速應對網路安全威脅。
TIDE 由 Infoblox 威脅情報團隊研究,經過標準化流程,提供高品質且完整的威脅情資,有來自全球 20 幾種威脅情資資料庫與 300 種以上的威脅情資屬性,能夠使組織減輕各種內部與外部來源的威脅情資所耗費的成本,並有效、快速地防禦網路威脅。
▲ (Source:Infoblox)
完整情資資訊減輕人力及加快反應速度
除了有效地整合威脅情資,保持內部所有設備的一致性以外,威脅事件調查的工作也是企業安全不可或缺的程序,當企業內部系統發生告警時,需要針對事件進行調查,通常調查人員會需要從不同的情資威脅分析平台搜尋對該事件的描述,加以評估如何決策。重覆查詢分析與切換平台查看所耗費的時間,意味著企業暴露在風險中的時間更長,惡意行為很可能更進一步危害企業組織。
Infoblox Dossier 威脅即時調查工具,在單一平台提供數十種威脅情資來源的資訊,企業組織無須耗費人力來開發與維護內部調查工具,也無須花費數個月、數周或數天的時間進行調查。透過 Dossier 提供豐富的威脅環境情資,對事件的威脅等級進行優先級排序,可以更快速得到精準的情資資訊,使調查分析人員能夠節省時間以應對任何已知的威脅,做出最快速、正確的判斷,縮短企業組織處於風險、受威脅攻擊的時間。
(首圖來源:Shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
