为了为更主动的方法奠定基础,一些组织一直在采用威胁情报,这是一种安全实践,涉及在攻击发生之前筛选数据以发现高级持续性威胁性威胁(易于)。像EllieMay这样的公司提供了一个基于云的平台,可以处理全国约44%的抵押贷款申请,通过使用预测分析来部署自主威胁搜索功能,将威胁情报提升到更高的水平。“威胁搜寻本质上是非常主动的,”EllieMae的高级副总裁兼首席安全官SelimAissi说,识别高低威胁并进行调查。”两年前甚至更早,EllieMae开始开发针对高级持续性威胁的自主威胁搜寻程序,作为应对勒索软件等威胁的一种方式,Aissi将其称为“任何威胁”。对企业最重要和代价最高的威胁。该计划为EllieMae赢得了IT领域成就卓著的CIO的前100名奖项。2019年12月,Emisoft的MalwareLabs发布了《全国勒索软件现状》的报告,报告发现美国在2019年遭受了“前所未有且无情的勒索软件攻击”,潜在损失超过75亿美元,其中包括赎金支付、数据恢复、法院调查和收益损失。“对这个行业和类似行业的最大威胁是勒索软件,”Aissi说。“勒索软件对所有公司都有灾难性的影响。在SaaS公司中,当服务中断数天或数周时,那就是灾难。”Aissi说,由于传统的勒索软件保护技术提供针对静态威胁的保护,因此他们很难跟上新的和复杂的勒索软件技术。积极从过去的勒索软件攻击中学习以了解新的危害指标,发现新的规避技术,然后使用它们。EllieMay的自主威胁搜寻计划就是这样做的,它使用威胁情报、预测分析、人工智能和习惯性妥协指标(IOC)将它们融入现有的安全控制中。有效的威胁情报计划面临的最大挑战之一是庞大的数据量。EllieMae首先手动处理妥协指标(IOC)上的数据,并将这些见解输入各种安全工具。但一旦奠定了基础,Aissi和他的团队便开始了“非常积极的自动化之旅”,让组织能够及时采取行动。“我们自动聚合来自不同来源的数据,我们自动验证,我们自动发出安全操作警报,”Aissi说。“这是我们旅程中的一大步。”又一大步:获得执行管理层和利益相关者的支持。Aissi最初会见了高级管理团队、董事会、监管机构和执行顾问委员会。“在过去的三年里,我对威胁搜寻过程进行了大量验证。我们对此有很多投入。我们正在执行一个明确的计划和路线图,但还没有完成,”Aissi说.与转型项目一样,变革管理已成为必不可少的组成部分。“从变更管理的角度来看,很多影响实际上是对安全运营和工程团队的影响,”Aissi说。“其中许多功能往往是手动的,安全分析师必须收集威胁信息并将这些信息手动输入到我们必须适应这一点,并培训安全分析师和工程师采用这种新的自主方法。”变更管理对Aissi尤为重要,因为自主威胁搜寻计划不是一个独立的计划。今天,它与网络安全组织所做的一切息息相关,包括漏洞管理程序和补丁管理。然而,好处是它消除了威胁搜寻的手动任务,将安全工程师和安全分析师从其他任务中解放出来,并避免团队继续使用少数只能进行静态监控和检测的安全工具。该项目还需要高水平的部门间合作。安全团队与工程、基础设施、云和质量保证部门密切合作,以发现可能受到勒索软件和所有用于传播恶意软件的网络协议影响的所有关键资产。这些团队还协作进行业务影响评估,以评估勒索软件的潜在影响。安全性还与法律、隐私、关键客户和执法部门协调,以确保技术的自主方面符合法律和隐私义务。Aissi表示,该计划已将安全运营效率提高了约35%,并使威胁的早期检测率提高了约10倍,同时还将解决新威胁的速度提高了约60%。Aissi对其他试图启动威胁搜寻计划的安全专业人员有一条建议:采取战略性的、长期的观点。“自主威胁狩猎绝对不是短期内可以开启的东西,”Aissi说。“它需要大量的人员规划,大量的人员和工具培训,大量明确的服务水平协议、投资、集成和自动化。”Aissi还强调,你必须先建立强大的威胁情报能力可以进行威胁狩猎。最后,他说,确保你与公司的其他利益相关者协调这个过程。
