從WannaCry到NotPetya，2017年全球呈現(xiàn)出了新一輪的網(wǎng)絡(luò)威脅趨勢(shì)，一起起攻擊事件以機(jī)器速度(machine-speed)定期占據(jù)著新聞報(bào)道的頭版頭條。一般在遭遇勒索軟件攻擊之后，談?wù)撟疃嗟脑掝}要么是找出攻擊背后的罪魁禍?zhǔn)祝词歉袊@自身未能及時(shí)修復(fù)漏洞，但是現(xiàn)在出現(xiàn)了一個(gè)更亟待解決的問(wèn)題：面對(duì)如此高自動(dòng)化的攻擊趨勢(shì)，安全團(tuán)隊(duì)不得不迅速做出響應(yīng)。然而，可悲的是，作為網(wǎng)絡(luò)安全捍衛(wèi)者，我們卻很難跟上攻擊者的步伐。

[[217477]]

面對(duì)全球超過(guò)100萬(wàn)的網(wǎng)絡(luò)安全專業(yè)人員技能缺口，組織如何才能實(shí)現(xiàn)在復(fù)雜而迅速的攻擊活動(dòng)中占得先機(jī)，保持主動(dòng)呢?接下來(lái)就為大家提供一些建議，以幫助您能夠在2018年運(yùn)用相同的資源發(fā)揮更大的效用。

1. 讓AI挑大梁

我們正面臨嚴(yán)重的網(wǎng)絡(luò)安全技能短缺現(xiàn)狀，市場(chǎng)對(duì)熟練從業(yè)者的需求始終得不到滿足。公司也很難為相應(yīng)的崗位找到合適的人選，但除此之外，分析師必須保持積極性——避免“警報(bào)疲勞”(alert fatigue，即對(duì)安全警報(bào)變得麻木，從而忽視或未能準(zhǔn)確地回應(yīng)這樣的警報(bào))和“心理疲乏”(burnout，即長(zhǎng)期從事相同的工作內(nèi)容以致于感到莫名的煩躁和焦慮)。

人工智能技術(shù)不僅可以使我們現(xiàn)有的安全團(tuán)隊(duì)更加高效，而且能夠幫助企業(yè)最大限度地解放人力，使安全團(tuán)隊(duì)可以專注于更高層次的戰(zhàn)略性工作部署。

人工智能技術(shù)可以最大限度地減少誤報(bào)，并提醒安全團(tuán)隊(duì)真正的威脅所在，從而確保您的安全團(tuán)隊(duì)能夠?qū)Ｗ⒂谘芯亢托迯?fù)網(wǎng)絡(luò)上存在的最嚴(yán)重的威脅。

此外，在當(dāng)今時(shí)代，企業(yè)想要雇傭一名合適的安全分析師依然是一件很難的事，所以一定要確保其積極性，避免其產(chǎn)生心理上的疲乏，對(duì)工作失去熱情和參與度。

2. 招聘過(guò)程中重視創(chuàng)新性

現(xiàn)在是時(shí)候重新考慮您的招聘策略了。一般來(lái)說(shuō)，大多數(shù)企業(yè)的安全團(tuán)隊(duì)都是由經(jīng)驗(yàn)豐富的安全專家和網(wǎng)絡(luò)分析師組成的，他們主要使用自身累積的經(jīng)驗(yàn)來(lái)識(shí)別威脅指標(biāo)。然而，具有人工智能技術(shù)加持的新手網(wǎng)絡(luò)安全專家也能夠捕捉到這些威脅，甚至是最具危害性的威脅。

最有效的安全團(tuán)隊(duì)不一定是最大的或最有經(jīng)驗(yàn)的，但絕對(duì)是最具多樣化的——技能嫻熟的網(wǎng)絡(luò)專業(yè)人員、工程師、分析師以及直覺(jué)靈敏的商業(yè)思想家缺一不可。2018年，我們需要重組和訓(xùn)練我們的安全團(tuán)隊(duì)，配合用于捕獲和應(yīng)對(duì)威脅的新型人工智能技術(shù)。

3. 了解企業(yè)內(nèi)部情況

通過(guò)可識(shí)別的徽章就能順利進(jìn)入辦公大樓，利用有效的密碼就能成功侵入公司網(wǎng)絡(luò)，不得不說(shuō)，一些影響頗深的違規(guī)事件都是由“內(nèi)部威脅者”引起的——然而這些又往往是最難以發(fā)現(xiàn)的威脅。

根據(jù)Ponemon公司最新的一項(xiàng)研究成果顯示，企業(yè)平均需要花費(fèi)50天的時(shí)間來(lái)修復(fù)一場(chǎng)惡意的內(nèi)部攻擊活動(dòng)。但是，對(duì)于具有正確訪問(wèn)級(jí)別的員工而言，卻只需要一天時(shí)間就能夠獲取到專利藥物配方、正在進(jìn)行的合并項(xiàng)目細(xì)節(jié)或新項(xiàng)目的發(fā)布日期等信息，并將這些信息泄漏給競(jìng)爭(zhēng)對(duì)手。

鑒于此，您應(yīng)該認(rèn)真審視自身并詢問(wèn)自己一個(gè)關(guān)鍵的問(wèn)題——我的堆棧中是否有可以檢測(cè)出內(nèi)部威脅的工具?

企業(yè)對(duì)于自己?jiǎn)T工的“正常”行為模式往往缺乏理解，更不用說(shuō)什么流氓設(shè)備或第三方曝光。如果缺乏這方面的認(rèn)知，早期的威脅指標(biāo)往往只能在一片“噪聲”(威脅警報(bào))中失去效用，讓企業(yè)產(chǎn)生“警報(bào)疲勞”，忽略那些本應(yīng)重視的威脅，使其演變成真正的危機(jī)。

溯源性網(wǎng)絡(luò)防御的時(shí)代已經(jīng)結(jié)束，為了準(zhǔn)確檢測(cè)內(nèi)部威脅，我們需要能夠快速識(shí)別、了解和報(bào)告存在威脅性的用戶和設(shè)備行為的團(tuán)隊(duì)和技術(shù)——提醒我們的團(tuán)隊(duì)更換或改變?cè)缙诰W(wǎng)絡(luò)威脅的指標(biāo)。

4. 少即多：按嚴(yán)重性順序優(yōu)先處理威脅

我們正在淹沒(méi)于數(shù)據(jù)之中。ESG研究發(fā)現(xiàn)，38%的企業(yè)會(huì)收集、處理和分析超過(guò)10TB的數(shù)據(jù)，來(lái)作為其每月安全操作的一部分。而Ovum的一份報(bào)告發(fā)現(xiàn)，超過(guò)三分之一的銀行每天會(huì)收到超過(guò)20萬(wàn)次安全警報(bào)。

對(duì)于安全團(tuán)隊(duì)而言，想要找到下一個(gè)NotPetya或WannaCry威脅指標(biāo)無(wú)異于大海撈針。組織不僅需要找到這種威脅，而且需要在其造成實(shí)際損害之前找到它——換句話說(shuō)，需要即時(shí)/實(shí)時(shí)的找到這些威脅。但是現(xiàn)在，你的團(tuán)隊(duì)每天需要對(duì)20多萬(wàn)條警報(bào)進(jìn)行篩選，還如何能夠發(fā)現(xiàn)潛伏在網(wǎng)絡(luò)中的微妙威脅?

我們的安全團(tuán)隊(duì)正面臨著一個(gè)不可逾越的難題——對(duì)數(shù)以千計(jì)在Web代理日志、反病毒日志以及SIEM日志等之間傳播的這些誤報(bào)進(jìn)行分類——不幸的是，只能得到關(guān)于實(shí)際發(fā)生事件的一個(gè)不完整畫面。安全運(yùn)營(yíng)管理平臺(tái)(SOC)需要的最后一樣?xùn)|西是另一種生成大量警報(bào)的工具。

按照嚴(yán)重程度對(duì)威脅進(jìn)行可視化和優(yōu)先級(jí)劃分，能夠證明“實(shí)時(shí)地發(fā)現(xiàn)這些威脅”與“數(shù)百天后發(fā)現(xiàn)這些威脅”之間的區(qū)別。根據(jù)偏離“正常”行為模式的水平，可以對(duì)真正的威脅進(jìn)行優(yōu)先級(jí)劃分，如此可以方便各種規(guī)模的安全團(tuán)隊(duì)組織快速地調(diào)查、修復(fù)并轉(zhuǎn)移到下一個(gè)事件，從而最大限度地節(jié)省了時(shí)間也提高了工作效率。

隨著攻擊速度日益加快、黑客變得越來(lái)越聰明，我們需要?jiǎng)?chuàng)造性地進(jìn)行思考，為安全團(tuán)隊(duì)贏回更多時(shí)間。人工智能能夠?yàn)槲覀兂袚?dān)很多工作，優(yōu)先處理警報(bào)并自動(dòng)應(yīng)對(duì)輕微的威脅;而戰(zhàn)略招聘則可以使我們的團(tuán)隊(duì)更具效率和活力。這些策略可以為我們和我們的團(tuán)隊(duì)提供更多的時(shí)間，專注于優(yōu)先事項(xiàng)和戰(zhàn)略舉措，使我們能夠采取更積極主動(dòng)的方式進(jìn)行網(wǎng)絡(luò)防御。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文