保障业务安全,如何做到“未知攻,焉知防”
安全防护中的“未知攻,焉知防”是什么意思
“未知攻,焉知防”,业务安全的攻防之道
2013年秋天的一次网络安全大会上,知名网络安全专家于旸做了一个《APT防御——未知攻,焉知防?》主题分享。那一年,2013年,APT高级可持续威胁攻击被行业高度关注,Palo Alto与FireEye主导的未知威胁渐趋成熟。
于旸在讲演中表示,实用有效的安全防御方案需要对攻击技术有深入了解,基于“未知生、焉知死”,他提出“未知攻,焉知防”。
“未知攻,焉知防”,这句话后来被广泛应用到无数的安全产品和安全讲演场合。由此,也揭示出安全情报的重要性。
风险愈加复杂,欺诈愈加专业
随着数字经济规模快速扩张,企业核心业务、关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患。
顶象与信通院联合发布的《业务安全白皮书》披露,一方面,各种形态的业务场景中,存在着形式多样的欺诈行为;另一方面,欺诈团伙呈现专业化、产业化、组织化的形态,黑灰产能够发现业务存在的漏洞,够熟练应用各类新技术,不断开发和优化各类攻击工具。
由于业务的行业特征明显且差异大,各行业业务场景丰富,应用环境繁杂,安全需求多样。同时,黑灰产熟悉各项业务流程及漏洞,能够娴熟的运用各种新技术,而且有计划、有预谋。这就导致企业难以防控最新的业务风险,无法从全局视角洞察欺诈风险。
顶象业务安全情报能够帮助企业提前获取黑灰产发动威胁的工具、路径、意图等信息,勾勒出攻击者画像。让安全运营人员及时快速进行应急响应,推动防御的主动化,更可以实现事后的风险特征沉淀。
安全情报帮助企业发现复杂攻击
业务安全情报是指从安全数据中分析出与业务威胁相关的信息,通过对数据的汇总整理、加工生产、分析应用及协同共享机制,从而提炼总结出有价值情报内容。业务安全情报不仅推动安全数据共享,打通了各个业务的孤岛,实现由被动抵御到主动防护,帮助企业掌握安全主动权。
以顶象业务安全情报为例。顶象业务安全情报拥有30000+风险源,包含来自对黑灰产社区社群、暗网论坛、违法违禁网站和App的监测,以及打码平台、众包平台、行业非风险数据的共享等。基于对风险数据的人群画像、行为评分、关联关系分析、团伙欺诈挖掘、场景风险特征分析,以及专家专业经验的判断和定位后,提炼总结分析出电信诈骗风险、IP地址风险、设备风险、涉毒涉诈风险、交易风险以及不同行业风险的业务安全情报,为安全人员提供及时、准确、有效的情报内容,帮助安全人员系统掌握业务安全态势、威胁路径、影响范围等,分析挖掘出攻击特征、潜在隐患,从而及时有效提升安全应急响应能力,制定科学有效的防控策略。
业务安全情报在安全防护的作用
安全事件响应。通过订阅、推送等方式,将业务安全情报集成到现有的安全产品之中,实现与安全产品协同工作,打通产业链上下游,链接各行业和业务的“信息孤岛”,帮助企业制订实时响应的联防联控安全机制。
威胁攻击防御。在日常处理应急过程中,借助安全情报,安全人员会能够快速识别攻击,明确威胁攻击类型,来源以及攻击的意图等。快速评估企业内部资产受损程度及影响面,判断攻击所处的阶段,做出针对性的措施来阻止攻击进一步扩大;事后阶段,然后根据事件中出现的新的情报信息进行应对。
追溯风险来源。追踪威胁攻击是一个长期的运营过程,通过对黑灰产战术、技术、过程等威胁信息多个维度的分析提炼,在结合新攻击中暴露的各类细节,进而能够有效追溯溯源。
发现未知威胁。通过业务安全情报,能够帮助安全人员捕捉网络中异常行为,挖掘未知威胁,辅助定位潜在隐患,帮助企业在攻击发生之前发现威胁。
提升安全能力。通过业务安全情报,帮助安全运维人员快速定位影响资产安全的关键风险点,提前修复关键漏洞,更好保护业务安全。
