(1)安全情报以“空间”换“时间”,用协作来应对APT攻击的“P”:
大家谈到APT的监测与防御时,其实最难的是“P”,攻击者可以花足够长的时间来进行“低速”攻击,传统的监测手段不可能发现,同时要做审计的话需要足够长时间的数据,这个数据到底多大又是个问题。没有集体共享的威胁和攻击的情报,单个组织将无法保卫自己。gartner也预测为大量企业提供可视化的威胁和攻击情报的安全服务商将更受市场的欢迎。
(2)进攻是最好的防守,更主动性的进行安全防御:
当然这里谈到的进攻不是说直接攻击对手,而是在攻击者有攻击企图的早期就能预警到,并进行行为监控,并能及时采取action。通过威胁情报,从被动安全到主动安全的转变,你将会赢得整个战役,而不是一场战斗。(Use threat intelligence Win the war – not the battle)
(3)强调“情报驱动”的安全工作流:visibiltiy-analysis—Action
情报驱动的信息安全主要包括了可视化、分析、处置的这么一个过程。或者叫Intelligence-Aware Security Control 基于情报感知的安全控制。这里直接借用了splunk的两页ppt,表达的很清晰。
4、数据分析师是最关键的角色
数据是金子,对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。
比如关联分析:用于在海量审计信息中找出异构异源事件信息之间的关系,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现可能存在的违规行为。
比如数据挖掘:基于适当的算法来对数据集进行聚类分类,能够区分异常行为和正常行为。
就上图而言,中间的分析层,做的好的并不多,这个也是数据分析师能充分发挥作用的地方。当年的安全监控难点依然必须啃下来。