保障业务安全,如何做到“未知攻,焉知防”安全防护中的“未知攻,焉知防”是什么意思“未知攻,焉知防”,业务安全的攻防之道2013年秋天的一次网络安全大会上,知名网络安全专家于旸做了一个《APT防御——未知攻,焉知防?》主题分享。
那一年,2013年,APT高级可持续威胁攻击被行业高度关注,Palo Alto与FireEye主导的未知威胁渐趋成熟。于旸在讲演中表示,实用有效的安全防御方案需要对攻击技术有深入了解,基于“未知生、焉知死”,他提出“未知攻,焉知防”。
“未知攻,焉知防”,这句话后来被广泛应用到无数的安全产品和安全讲演场合。由此,也揭示出安全情报的重要性。风险愈加复杂,欺诈愈加专业随着数字经济规模快速扩张,企业核心业务、关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患。
顶象与信通院联合发布的《业务安全白皮书》披露,一方面,各种形态的业务场景中,存在着形式多样的欺诈行为;另一方面,欺诈团伙呈现专业化、产业化、组织化的形态,黑灰产能够发现业务存在的漏洞,够熟练应用各类新技术,不断开发和优化各类攻击工具。
由于业务的行业特征明显且差异大,各行业业务场景丰富,应用环境繁杂,安全需求多样。同时,黑灰产熟悉各项业务流程及漏洞,能够娴熟的运用各种新技术,而且有计划、有预谋。这就导致企业难以防控最新的业务风险,无法从全局视角洞察欺诈风险。
顶象业务安全情报能够帮助企业提前获取黑灰产发动威胁的工具、路径、意图等信息,勾勒出攻击者画像。让安全运营人员及时快速进行应急响应,推动防御的主动化,更可以实现事后的风险特征沉淀。
安全情报帮助企业发现复杂攻击业务安全情报是指从安全数据中分析出与业务威胁相关的信息,通过对数据的汇总整理、加工生产、分析应用及协同共享机制,从而提炼总结出有价值情报内容。
业务安全情报不仅推动安全数据共享,打通了各个业务的孤岛,实现由被动抵御到主动防护,帮助企业掌握安全主动权。以顶象业务安全情报为例。顶象业务安全情报拥有30000 风险源,包含来自对黑灰产社区社群、暗网论坛、违法违禁网站和App的监测,以及打码平台、众包平台、行业非风险数据的共享等。
基于对风险数据的人群画像、行为评分、关联关系分析、团伙欺诈挖掘、场景风险特征分析,以及专家专业经验的判断和定位后,提炼总结分析出电信诈骗风险、IP地址风险、设备风险、涉毒涉诈风险、交易风险以及不同行业风险的业务安全情报,为安全人员提供及时、准确、有效的情报内容,帮助安全人员系统掌握业务安全态势、威胁路径、影响范围等,分析挖掘出攻击特征、潜在隐患,从而及时有效提升安全应急响应能力,制定科学有效的防控策略。
业务安全情报在安全防护的作用安全事件响应。通过订阅、推送等方式,将业务安全情报集成到现有的安全产品之中,实现与安全产品协同工作,打通产业链上下游,链接各行业和业务的“信息孤岛”,帮助企业制订实时响应的联防联控安全机制。威胁攻击防御。
在日常处理应急过程中,借助安全情报,安全人员会能够快速识别攻击,明确威胁攻击类型,来源以及攻击的意图等。快速评估企业内部资产受损程度及影响面,判断攻击所处的阶段,做出针对性的措施来阻止攻击进一步扩大;事后阶段,然后根据事件中出现的新的情报信息进行应对。
追溯风险来源。追踪威胁攻击是一个长期的运营过程,通过对黑灰产战术、技术、过程等威胁信息多个维度的分析提炼,在结合新攻击中暴露的各类细节,进而能够有效追溯溯源。
发现未知威胁。通过业务安全情报,能够帮助安全人员捕捉网络中异常行为,挖掘未知威胁,辅助定位潜在隐患,帮助企业在攻击发生之前发现威胁。提升安全能力。通过业务安全情报,帮助安全运维人员快速定位影响资产安全的关键风险点,提前修复关键漏洞,更好保护业务安全。