CTO 反思 :安全設備外的重要條件
經常看新聞的人都知道,網絡攻擊手法日趨純熟及精密並具破壞性。從網絡安全商角度來看,為眾多每天受到攻擊的企業解決問題成為日益嚴峻的挑戰。
現代網絡安全技術 — 假設企業已具備所需的專業人員、政策和流程,但部署時仍需審視潛在的攻擊。
無形的安全設備在防止網絡攻擊危害企業時,擔當著重要的色。 威脅情報 (Threat Intelligence)-更具體地說,安全設備能夠了解不斷變化的威脅環境,並作出適當的回應 為企業加強防護。
獲得即時及準確預測威脅情報比所想困難,背後需要一個強大的研發部門,包括以下幾個重要組成部分:
- 分而治之 — 在大多業務範疇,大型團隊等於較高產量輸出。然而,利用傳統手法打撃網絡犯罪分子已經沒效。根據我的經驗,有效威脅研究部門應由多個小隊組成,而每個團隊都會專注於特定類型的威脅。這樣可以重點提升專業水平和競爭能力,從而提升效率並識別更多威脅,縮短客戶面對威脅的時間。
- 保持團隊靈活性 — 威脅研究團隊必須靈活應對。網絡威脅環境變化只需一天、數小時甚至數分鐘。 團隊必須能夠調整自己的優先次序,集中注意力在其領域。 譬如說,Fortinet會根據威脅形勢演變預測更新研究計劃。 在確定新方向後,挑選最適合的研究人員加入指定團隊,深入評估新出現的威脅。 最近威脅例子包括物聯網、勒索軟件(Ransomware)和自主惡意軟件(Autonomous Malware)。
- 綜觀全局 — 企業應鼓勵研究人員大處著眼按其興趣工作,即使其興趣範疇與公司產品沒有直接聯繫。 例如,物聯網漏洞研究可以加深企業安全供應商對威脅環境趨勢的影響 。
- 提升直覺力 — 研究領導者必須培訓其團隊對威脅識別的敏銳度,以確保攻擊在發生前已經可以辨識該潛在威脅。例如去年9月Mirai 入侵物聯網,變成殭屍網絡前,專業網絡威脅研究員已於多年間作出物聯網漏洞將是下一個重大威脅警告。 威脅發展迅速和多變, 如果網絡安全商在研究上落後並作出較慢反應的話,客戶安全將受到威脅。
- 收集數據—威脅研究團隊獲得越多數據,研究成果就越,專業研究團隊不會隱藏所得到資料。在Fortinet,我們除了利用遍佈全球的300萬個感應器外,還會積極地透過網路威脅聯盟(Cyber Threat Alliance)與國際刑警組織(INTERPOL)、北大西洋公約組織 (NATO) 、南韓網路與安全部(KISA)及其他網路安全商交換威脅情報。 近幾個月來,,Fortinet成功與全球更多政府機構和營運商合作,幫助各方建立更大規模的威脅數據庫來監控、防止和追溯惡意軟件攻撃的源頭。
- 投資研究技術 — 以人工分析威脅數據已經過時。有效的研究團隊需要先進工具協助分析每秒接收的龐大數據。雖然現時我們有「內容模式識別語言」(CPRLs),幫助識別成千上萬當前、未來病毒變體。在不久的將來,我們將會依靠大數據分析和人工智能(AI)等技術進行分析,AI 將幫助網絡安全不斷適應持續增長的攻擊面。人類正執行相對複雜的任務,當中包括連接點、共享數據並將數據應用於系統中。未來,一套成熟的人工智能系統將能夠自動完成這些複雜的決策。
無論AI發展得多先進,甚至全自動化,或讓機器自行作出所有決定等都是不可能實現的。人為干預仍是必需的。大數據和分析平台可以預測惡意軟件的發展,卻不能防止惡意軟件突變。只有人類才可以預見好Wannacry勒索軟件利用美國國家安全局漏洞,在殘破不全的系統上進行傳播等情況
基本上惡意軟件會隨著人類進化過程,及我們於日常生活中技術應用演變。例如,如果在未來幾年,無人駕駛車和可攜式物聯網裝置被廣泛使用,網絡犯罪分子將會一如既往地尋找方法攻擊這些汽車和設備。同樣地,如果加密貨幣(Cryptocurrencies)在今年內繼續維持高利率水平,將會吸引黑客入侵。
自動化概念為網絡犯罪分子開拓很多新可能性,對企業威脅加劇。由於黑客在惡意軟件中加強其自動化攻擊能力,這些程式不但加快攻擊速度,它們還縮短由攻擊及造成破壞的時間,同時有避開偵測的能力。企業需要在分佈式網絡生態系統中,從物聯網到雲端層面,透過協調一致的方式進行實時回應。現時未有太多企業有能力作出如此措施,這正是資訊總監們應該開始擔心的事情。
以上言論屬於作者個人意見,並不代表 Techapple.com 立場。
 |
作者簡介:謝華 ,Fortinet 創辦人、總裁兼首席技術官 |