威胁情报:网络安全的下一个引爆点

 2020-01-09 13:57:01   浏览2097人
收藏

威胁情报就像圣经,每个人都在谈论它,但很少有人读懂它,更少有人践行它。

2020 年,众所周知的 “灰犀牛年”、奥运年、大选年、周期年、冲突年…… 同时也是企业数字化转型和颠覆性技术集体发力的第三次数字革命的关键年头。

2020 年,对大多数企业的领导者来说,最大的两个挑战是如何以最低的成本:控制风险,把握机遇。

而信息安全风险,无疑是数字化时代企业面临的最大风险。但更大的风险来自于:企业安全防护体系的有效性不进反退,因为:安全威胁更加难以防范,过去的安全防护体系存在 “大坑”,“安全债” 高企。

面对安全风险与企业防御能力的不对等,一个业界共识的重大安全防御变革方向是:围绕威胁情报建设 “内生化” 的全新安全体系。

威胁情报就是通过暴露未知威胁,提供更优决策支撑信息,降低企业整体风险,并大大提高安全团队和工具有效性的理念,是企业应对 APT、网络犯罪、新兴安全威胁(例如人工智能增强攻击)的 “预警机”,是企业建设能力导向的网络安全体系的战略和战术双核心。

但是,企业界对威胁情报的现状、价值、趋势和最佳实践路径的理解还存在颇多误区和盲区。

威胁情报进入爆发期

威胁情报进入爆发期
Gartner 对威胁情报 (TI) 的定义是:威胁情报产品和服务提供关于信息安全威胁和其他安全相关问题的知识。威胁情报可提供的信息包括攻击者的身份、动机、特征以及方法。这些信息来自技术工具(例如流量分析)和人员行动,例如对黑客和诈骗团伙的调查,以及与司法部门和行业组织的信息分享和协作。

与基于漏洞的防御思路不同,威胁情报面向新的威胁形式,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

威胁情报在企业安全市场的崛起,主要来自以下两个方面的驱动力:

驱动一:威胁情报是企业安全变革的催化剂

威胁情报的应用场景和服务对象无处不在,EDR、SOC、SIEM、SOAR、TIP、下一代防火墙到企业行业情报联盟,从端点到云端、从一线安全分析师到CISO,从业务人员到总裁CEO。威胁情报是真正的“国民”安全服务,所有人都能从中受益,因而也是安全与IT融合和内生的催化剂和粘合剂。

QQ截图20200109135259
威胁情报服务/应用场景在企业信息安全体系中的分布

威胁情报的直接受益人:

SOC 团队:威胁情报利用加速分流所必需的外部信息和上下文丰富了内部警报,加快了 “无为时”,减轻了警报疲劳,最终帮助 SOC 团队做出更快的基于风险的决策。威胁情报还可以帮助SOC团队简化事件分析和控制。

事件响应团队:威胁情报可以帮助弥合巨大的网络安全技能差距,减少误报,并提供快速识别,确定优先级并应对可能的威胁所需的可行见解。

漏洞管理团队:威胁情报可为特定漏洞提供必要的上下文,这些漏洞代表了组织面临的风险,并使他们可以了解利用漏洞的可能性。有了这些知识,团队就可以快速权衡针对漏洞所造成的现实威胁应用补丁的潜在中断,并迅速做出明智的决定。

安全领导者CISO/CSO/安全总监:威胁情报可帮助他们全面了解网络风险状况(包括可能影响业务的新兴威胁和未知风险),确定合适的策略和技术来规避或减轻风险。

欺诈防护团队:威胁情报可以通过监视对业务的直接威胁(域,凭据,管理人员提及,BIN / PIN号码等),警告来自暗网的威胁,帮助保护企业的声誉、品牌和网站等),并减少社交媒体的滥用和域名抢注。

风险管理团队:威胁情报可帮助所有供应商和合作伙伴中全面了解以威胁为中心的第三方风险视图,从而有助于他们更快,更自信地理解,分析和解决问题。

威胁情报可帮助网络安全体系中的每个人(从分析师到 CEO)预测威胁,更快地响应攻击并就如何降低风险做出更优决策。威胁情报可以应用于企业安全策略和安全体系的各个层面,帮助企业安全防护体系转向更主动,更全面的安全方法。这就是安全情报——一种通过暴露未知威胁,通知更好的决策并达成共识以最终加速整个组织的风险降低来提高安全团队和工具有效性的理念。

驱动二:投入少,见效快的威胁情报价值被严重低估

根据研究公司 IDC 的调研,威胁情报可以显着降低风险,同时推动安全和运营效率的提高。威胁情报可以将企业发现威胁的速度提高 10 倍,响应和解决威胁的速度提高 63%,并在受到攻击之前主动识别出 22% 的安全威胁。通过用自动化取代手动任务和研究,威胁情报可以将整个IT安全团队的生产率提高32%。

随着网络犯罪和安全威胁复杂性的不断增加,威胁情报正在成为网络安全市场最具潜力、市场规模增速最快,创业投资融资最活跃的 “估值洼地”。

根据 Market Inside Report 的报告,2016 年全球威胁情报市场的价值约为 30.2 亿美元,在 2017 年至 2025 年的预测期内,将以超过 17.40% 的健康增长率增长,亚洲尤其是东亚市场的增速要高于全球水平。到 2025 年,全球威胁情报市场将达到 128 亿美元。

根据 Gartner 的调查报告,过去两年威胁情报的认知和需求都在快速增长,尤其对政府主导和商业化威胁情报服务感兴趣的企业激增。此外,除了传统的政府和金融机构外,能源、航空、医疗、医药、零售、制造等行业用户对威胁情报的兴趣和需求都在快速增长。

市场需求刺激了威胁情报市场的快速成长,除了众多大型安全公司以外,创业公司也不断涌入这个充满活力和生机的市场。报告显示:到 2022 年,20% 的大型企业都将使用商业化的威胁情报服务,而 2019 年只有不到 10% 的大企业。换而言之:

在未来不到两年时间内,行业用户和大型企业的威胁情报市场规模将增长100%。

此外,中型企业的威胁情报市场虽然才刚刚起步,但增速更为惊人,根据Gartner报告,2018年只有不到1%的中型企业购买商业威胁情报服务/工具,到2021年,购买比例将增长至5%,三年内增长五倍。

免责声明:如转载稿涉及版权等问题,请立即联系管理员,我们会予以更改或删除相关文章,保证您的权利。