如何利用实时、AI驱动的威胁情报应对网络威胁这些威胁的攻击面来自远程工作和大量云计算应用,它们为未经授权的用户提供了无数的系统访问点。快速彻底地响应安全事件是关键,了解事件发生的方式、时间和原因的全局也很重要。应对网络威胁而不整体防御可能会陷入无限的恶性循环,在这种情况下,遏制安全威胁只能等待网络攻击者再次利用相同的网络攻击手段。不幸的是,随着组织开始遏制网络威胁,他们的行动可能会为威胁行为者敲响警钟,促使他们加速网络攻击或改变技术。因此,SOC团队分析网络威胁事件发生的方式、时间和原因至关重要。网络威胁情报的重要性网络威胁情报包含有关网络攻击者的策略、技术和程序的信息,它使组织能够就其网络安全计划做出更明智和数据驱动的决策,从而推动更成功的保护和检测,并应对当今的网络攻击。正如研究公司Gartner所认可的那样,“基于证据的知识,包括背景、机制、指标、影响和关于现有或新出现的资产威胁或关于响应或妥协的决策的可操作建议。”网络威胁情报可以帮助组织识别盲点,为安全运营中心团队提供对威胁态势的宝贵见解,最终使他们能够降低风险。通过应用威胁情报来识别和了解网络攻击者与其TTP之间的关系,安全分析师需要针对其环境采取更有效的主动措施。当今企业面临的威胁情报挑战网络威胁形势不断演变,例如针对Colonial石油管道的DarkSide勒索软件活动(导致美国石油公司关闭管道并支付了大约500万美元的赎金)和SUNBURST(这导致了SolarWinds数据泄露)。暴露30,000多个公共和私人组织数据的恶意软件变体)只是冰山一角。近年来,许多企业都试图利用网络威胁情报来更好地应对新出现的网络威胁并采取明智的行动。然而在实践中,SOC团队往往看不到具体结果。根据信息安全论坛的研究,82%的成员具备网络威胁情报能力,其余18%的成员正计划实施,但只有25%的成员认为达到了预期目标。这主要是由于网络威胁情报的常见缺陷,例如由于信号和遥测数据、测量值或在远程点收集并自动传输到接收设备的其他信息的绝对数量,无法有效地处理、关联和分析数据.大多数威胁情报解决方案严重依赖人工干预来集成、解析、丰富和验证数据,而且它们的分析可能过于关注网络攻击者是谁,而不是如何补救和采取反制措施。另一个问题是威胁情报来源通常是孤立的,SOC团队缺乏正确的技术和流程来连接和关联他们的数据以获得更完整的画面。因此,实施网络威胁情报变得既昂贵又耗时,安全专业人员努力将有意义的见解与无用信息区分开来。利用AI获取威胁情报随着安全事件队列的持续增长,响应时间指标(例如平均检测时间(MTTD)和平均响应时间(MTTR))也在增加也就不足为奇了。鉴于执行这些类型的深入分析的最大障碍之一是时间和资源,关键问题是组织如何在不给已经不堪重负的安全团队增加更多工作的情况下获取和评估他们需要的情报。实现网络威胁情报全部价值的最有效方法之一是将人工智能与人类智能相结合。这样做解决了两个主要问题:需要手动处理的数据量以及手动关联场景数据所需的时间。通过利用人工智能驱动的自主安全工具,安全专业人员可以减少他们以前所做的大量劳动密集型工作。这些AI驱动的平台可以执行TTP分析并大规模实时关联传入威胁。一些平台甚至提供一个控制台,SOC团队可以从中调查特定事件,访问有关威胁首次出现的时间、最后一次出现的时间以及数据泄露范围的信息。此类平台还可以快速识别威胁类型,例如勒索软件活动,甚至可以深入了解网络攻击者的每一步如何映射到MITREATT&CK框架的TTP,MITREATT&CK框架是一个全球可访问的网络攻击者策略和技术知识库,基于真实的-允许开发众包网络安全防御的世界经验。结论网络攻击者正在采用新颖且日益复杂的技术来渗透和攻击网络和系统,如今大多数安全团队都不知所措,无法对其所有事件调查进行深入而有意义的分析。但在AI驱动的自主工具的帮助下,SOC团队现在可以大规模访问实时威胁建模、事件关联和TTP分析,使威胁分析师能够做出明智的、有数据支持的决策。这种人工智能与人类智能的结合为网络数据提供了上下文、丰富性和可操作性,使企业能够采用更加自动化和主动的防御方法和措施——不仅与网络攻击者保持同步,甚至领先一步。
