一直以來,入侵指徵(IoC)作為威脅情報的一個重要組成,在安全分析中發揮著不可替代的作用。但當前的事件響應和風險模型已經無法跟上日益複雜、且快速變化的攻擊手段,從有組織的網絡犯罪到國家資助的黑客,到地緣政治的緊張加劇了全球的風險態勢。未來的幾年內,全球的組織與機構都要進化網絡威脅情報的能力,包括更加可靠、可執行、自動化的響應等能力,以應對不斷快速變化升級的威脅環境。而傳統的威脅情報標準模型,始終基於有著不少問題的IoC。
為了跟上這些威脅變化,組織與機構需要新一種新型威脅情報,入侵證據(EoC)。
威脅情報內容包羅萬象,導致很多錯誤信息,IoC的問題在於數據需要分析人員梳理、提煉和確認,大大降低了情報的可執行性。但入侵證據不同,因為它只提供確認的、可執行的威脅情報。EoC不會錯誤,也無需分析師介入,還可快速執行。這一切都緣於EoC的數據直接來源於攻擊者自己的設施,不依賴猜測和解釋。EoC天然地準確,情報錯誤的幾率幾乎為零。
EoC過濾網絡活動嗓音
金融領域的網絡安全水平一直在業界比較領先,直接入侵網絡的難度很大。因而,越來越多的攻擊者把目光投向圍繞著金融機構的合作伙伴身上,在供應鏈上找容易得手的對象。於是,本來“可信的提供商”現如今成為金融機構網絡安全中的最大漏洞。
普遍的狀況是,大部分金融機構對自己的提供商的安全,很難有比較準確的安全度量,尤其是在一些新興的、活躍的安全威脅面前更是如此。EoC則改變了這種狀況,幫助金融機構以攻擊者的角度來查看提供商的網絡。
EoC要做的事情可以概況為,賦予企業對其供應鏈安全,審計和持續監控的能力,並將這個能力提升到前所未有的高度,甚至能夠預測即將發生的入侵。EoC將會是威脅情報能力的一個大幅度提升,隨著威脅場景的進化,它將在下一個十年中成長為機構必備的安全能力。
關鍵詞:威脅情報;IoC;EoC;入侵指徵;入侵證據
(注:IoC一般被譯為入侵指標或入侵指示器,數世諮詢首譯為入侵指徵。指徵在在指標之上的,指標只是一些參數,彙集了這些參數並形成入侵判斷之後,才形成指徵,意味著入侵徵兆和下一步行動的依據。)
閱讀更多 數世諮詢 的文章
