編輯部TeamT5 蔡松廷:資安軍備再提升-運用威脅情資掌握網路冷戰致勝關鍵
Cyber Cold War and Tensions – Be Armed with Intelligence
「網路戰已經沒有任何國區可以置身事外,所有國家都必須對此有所備戰,並在攻防能力上進行投資。」TeamT5 杜浦數位安全的執行長蔡松廷如是說,TeamT5 同時也是知名威脅情資平台 Anomali 的合作夥伴。
今日尖端的網路威脅呈現多種形貌,例如透過供應鏈實施攻擊、運用網路間諜攻擊、或針對某一目標發動長期持續性攻擊,或有國家政府支持資助的專精攻擊團隊等。
面對不同的資安威脅要有不同的應用方法,如果是蠕蟲、病毒、垃圾信,那麼防護技術可以解決;若是先進的惡意程式攻擊,則需要倚賴資安服務來解決;至於目標性攻擊,就必須透過威脅情資、威脅智慧 (Intelligence) 來解決。有關威脅情資的防範防禦手法有一句話最能表達其意涵:知己知彼、百戰不殆(孫子兵法)。
威脅情資在資安領域日漸重要,但已有數十家業者在提供情資,對企業而言不易評估選擇,同時也擔心少數業者的情資可能導致覆蓋不足,關於此建議採行威脅情資平台 (Threat Intelligence Platform, TIP),平台上已廣泛網羅各家的情資,而 Anomali 則是目前高知名的情資平台業者。 Anomali 不僅有情姿平台 ThreatStream,還有威脅獵捕平台 Match,以及威脅智能分析 Lens 。
Anomali ThreatStream 平台已收容多種情資,包含 100 種以上的開放原始碼情資、 25 種以上的第三方付費情資,或來自各 ISAC/ISAO 情資信任圈所提供的情資。除了收容外平台也提供情資管理功能、情資派送功能。
情資管理功能可透過機器學習 (ML) 分析情資的關聯性、減少誤報並給予威脅風險評分;情資派送功能則能將情資送入防火牆、端點、閘道器、 SIEM 等資安防護佈建中,以自動化方式升級防護。
最後蔡松廷也舉實際成功案例,過去美商荷普銀行面臨多項資安挑戰,例如分析人員要在 SIEM 上花超過半小時方能確認一個潛在問題,或雖已取得多個外部威脅情資卻無法完全無縫地嵌入到 SIEM 工作流程中。
荷普銀行在導入 ThreatStream 解決方案後,以單一平台統合管理各種情資,並將情資派送、整合至 SIEM 系統與流程中,解決了上述的資安營運困擾,並實現了事前部署、主動攔截惡意外部網路攻擊的目標。