CTO專欄 | 威脅情報，設備之外的安全能力

網絡攻擊手法日趨純熟及精密並具破壞性。從網絡安全商角度來看，為眾多每天受到攻擊的企業解決問題成為日益嚴峻的挑戰。

現代網絡安全技術，假設企業已具備所需的專業人員、政策和流程，但部署時仍需審視潛在的攻擊。

除卻盒子，也就是硬件安全設備以外，一些看不見的安全能力，無疑也是網絡安全防禦中不可或缺的，這就是威脅情報（Threats Intelligence），或者更具體的來講，能夠使安全設備在不斷變化的威脅環境中，迅速進行威脅響應的一種能力。

獲得即時及準確預測威脅情報比所想困難，背後需要一個強大的研發部門，包括以下幾個重要組成部分：

1.分而治之 — 在大多業務範疇，大型團隊等於較高產量輸出。然而，利用傳統手法打撃網絡犯罪分子已經沒效。根據我的經驗，有效威脅研究部門應由多個小隊組成，而每個團隊都會專注於特定類型的威脅。這樣可以重點提升專業水平和競爭能力，從而提升效率並識別更多威脅，縮短客戶麵對威脅的時間。

2.保持團隊靈活性 — 威脅研究團隊必須靈活應對。網絡威脅環境變化隻需一天、數小時甚至數分鍾。團隊必須能夠調整自己的優先次序，集中注意力在其領域。譬如說，Fortinet會根據威脅形勢演變預測更新研究計劃。在確定新方向後，挑選最適合的研究人員加入指定團隊，深入評估新出現的威脅。最近威脅例子包括物聯網、勒索軟件(Ransomware)和自主惡意軟件(Autonomous Malware)。

3.綜觀全局 — 企業應鼓勵研究人員大處著眼按其興趣工作，即使其興趣範疇與公司產品沒有直接聯係。例如，物聯網漏洞研究可以加深企業安全供應商對威脅環境趨勢的影響 。

4.提升直覺力 — 研究團隊的領隊必須培訓其團隊對威脅識別的敏銳度，以確保攻擊在發生前已經可以辨識該潛在威脅。例如去年9月Mirai 僵屍網絡入侵物聯網，專業網絡威脅研究員已於多年間作出物聯網漏洞將是下一個重大威脅警告。威脅發展迅速和多變， 如果網絡安全商在安全研究上滯後，客戶的網絡就會受到威脅。

5.收集數據—威脅研究團隊獲得越多數據，研究成果就越顯著。在Fortinet，我們除了利用遍布全球的300萬個感應器外，還會積極地透過網絡威脅聯盟(Cyber​​ Threat Alliance)與國際刑警組織(INTERPOL)、KISA及其他網絡安全商交換威脅情報。近幾個月來，Fortinet成功與全球更多機構和營運商合作，幫助各方建立更大規模的威脅數據庫來監控、防止和追溯惡意軟件攻擊的源頭。

6.研究技術的投入 — 有效的研究團隊需要先進工具協助分析每秒接收的龐大數據。雖然現時我們有內容模式識別語言(CPRLs：Content Patteren Recognition Languages)，幫助識別成千上萬的當前、未來病毒變體。在不久的將來，我們將會依靠大數據分析和人工智能(AI)等技術進行分析，AI 將幫助網絡安全不斷適應持續增長的攻擊麵。未來，一套成熟的人工智能係能夠自動完成這些複雜的決策。

無論AI發展得多先進，甚至全自動化，讓機器自行作出所有決定的也是不可能的，人為幹預仍是必需的。大數據和分析平台可以預測惡意軟件的發展，卻不能防止惡意軟件突變。

基本上惡意軟件會隨著互聯網的發展，及我們於日常生活中技術應用演變。例如，如果在未來幾年，無人駕駛車和可攜式物聯網裝置被廣泛使用，網絡犯罪分子將會一如既往地尋找方法攻擊這些汽車和設備。同樣地，如果加密貨幣(Cryptocurrencies)在今年內繼續維持高利率水平，將會吸引黑客入侵。

自動化概念為網絡犯罪分子開拓很多新可能性，對企業威脅加劇。由於黑客在惡​​意軟件中加強其​​自動化攻擊能力，這些程序化設計不但加快攻擊速度，還縮短從發動攻擊到造成損害之間的時間，同時具有避開偵測的能力。企業需要在分布式網絡生態係統中，從物聯網到雲端層麵，透過協調一致的方式進行實時回應。現時未有太多企業有能力作出如此措施，這正是IT總監們應該開始著手改善的事情。

原文發布時間為：2017年10月10日

本文作者：Fortinet 創始人兼CTO 謝華

本文來自雲棲社區合作夥伴至頂網，了解相關信息可以關注至頂網。