泛網(wǎng)絡攻擊時代來臨，智能威脅治理框架需重構

時間：2022-03-06 06:22:02 | 來源：行業(yè)動態(tài)

時間：2022-03-06 06:22:02 來源：行業(yè)動態(tài)

我們來看網(wǎng)絡攻擊的演進方向，從以CIH、熊貓燒香、沖擊波等為主，主要是破壞操作系統(tǒng)穩(wěn)定性的炫技時代；到以APT攻擊為代表的精準攻擊，主要是竊取重要信息或破壞重要系統(tǒng)的定向攻擊時代；到如今，以勒索、挖礦為代表，與蠕蟲結合，全網(wǎng)擼羊毛，輕松又高效的泛網(wǎng)絡攻擊時代。可以看到，信息資產(chǎn)數(shù)量和價值的持續(xù)倍增，讓網(wǎng)絡空間進入了泛網(wǎng)絡攻擊時代。

網(wǎng)絡攻擊是為了獲利，當個人終端的信息資產(chǎn)也變的重要時，勒索，從一開始的郵件附件傳播，到后來利用高危漏洞，與蠕蟲結合，對黑客來說，是一種極其高效的獲利方式。當前，泛網(wǎng)絡攻擊在暗網(wǎng)上有完整的產(chǎn)業(yè)鏈支撐，入門門檻低，從病毒的獲取，加殼變形，病毒投放，獲利的收取等都有完整的服務鏈條，只要幾千美金就可以開張起步，并可以在短時間內(nèi)收回成本并獲利。

在這種以快、廣、狠為主要特點的泛網(wǎng)絡攻擊時代，基于特征匹配的傳統(tǒng)檢測技術已難以應對新的網(wǎng)絡攻擊挑戰(zhàn)。威脅檢測技術從原理上分為特征匹配和異常行為兩大類，特征匹配由于檢測結果誤報率低，解釋性好，檢出問題有明確的處置建議，因此一直是網(wǎng)安產(chǎn)品的主流檢測技術，但面對漏洞越來越多，攻擊數(shù)量多、易變種的局面，僅僅有特征匹配檢測已難以應對。

如何應對？山石網(wǎng)科認為，多維檢測、精準分析、聯(lián)動響應、情報賦能，構建新形勢下的智能威脅治理框架。



面對新形勢下的攻擊態(tài)勢，首先要在端、網(wǎng)、邊、云，建立特征匹配與異常行為的多維檢測。由于檢測點和檢測技術多，產(chǎn)生的威脅數(shù)據(jù)量大，需要建設基于大數(shù)據(jù)技術的精準分析平臺，匯總?cè)z測數(shù)據(jù)，綜合應用人工智能分析技術，將威脅與資產(chǎn)結合，幫助管理員聚焦于高置信度失陷風險；進而與端、網(wǎng)、邊、云的防控體系實現(xiàn)聯(lián)動響應，運用SOAR技術，自動化專家分析處置經(jīng)驗，快速實現(xiàn)威脅檢測、分析、響應閉環(huán)。同時，通過云端威脅情報的賦能，使政企組織可以實時獲取全網(wǎng)威脅情報數(shù)據(jù)，實現(xiàn)更大范圍的檢測、分析、響應閉環(huán)。

在攻擊泛化的趨勢下，防御應對措施也有新的方向。山石網(wǎng)科認為，攻防的本質(zhì)始終是基于成本的對抗，SaaS化是智能XDR SOAR系統(tǒng)的未來趨勢。不管如何演進，攻防的本質(zhì)始終不變，是基于成本的對抗。像密碼學的設計原則并不是永遠破解不了最好，而是破解的成本高于被保護的信息價值即可。攻擊方是黑客利用工具，防守方僅僅部署產(chǎn)品是不夠的，需要有專業(yè)的安全管理人員。

對于中小組織，面對越來越廣泛并且專業(yè)的攻擊，通過本地部署安全控制點，將安全數(shù)據(jù)上報到安全SaaS平臺，安全管理托管于專業(yè)廠家的專業(yè)人員，可以有效的降低成本。對于大型組織，安全管理投入也是有限的，參照安全成熟度高的歐美地區(qū)，自有安全管理人員 專業(yè)安全運營托管的趨勢非常明顯。