新年新气象,有新策略要实现,新预算要平衡,新威胁要防止。过去1年中,更多公司对威胁情报的理解更加深入,逐渐转向开始从优良情报获益的计划和实现过程。
计划往公司安全和风险项目中添加威胁情报的第一步,真心应该紧紧围绕以下几个关键问题展开:
- 我们想要的情报目标是什么?
- 情报应服务的主要利益相关者是谁?
- 我们最想要保护的资产和信息是什么?
- 情报应该影响的决策和结果是什么?
- 结果该怎样衡量?
- 我们已经在收集内部情报了吗?
- 是外包情报运营,还是内部运营,或者来个混搭?
无论你的网络威胁情报计划和过程是什么,它都应该驱动更快更智能的决策来最小化风险暴露。如果没能对此目标有所帮助,那不如叫停项目,好好想想需要做哪些改变,来让情报更好地保护你的公司。
大公司有安全运营中心(SOC),分析师们24小时三班倒工作。网络成熟度欠佳的小公司没有这些员工和工具,需要通过外包的形式来获得网络风险指导。使用威胁情报且有小型情报运维的公司,还想用混合/共同管理的方法来获得"力量倍增"。
无论是聘用了威胁情报分析师,与厂商合作,还是二者兼而有之,你都需要确保有合适的人(以及工具)来做这件事。复杂的地方在于,就像不是每一个威胁情报都相同一样,每一个威胁情报分析师也是不尽相同的。情报分析师可能具备不同领域的专业知识,比如,有些更偏技术,有些更关注风险,有些对特定工具更加熟练等等。在将视线投向寻求厂商合作或聘用内部网络威胁情报分析师之前,你得首先确定自己的最终目标,确保二者完美匹配。
在情报分析师身上,确实存在某些核心特质和能力,是招聘时可以用作考量的基准。
就整体角色而言,情报分析师应该具备从各种源规划和收集情报的能力,要能追踪威胁,识别和跟踪恶意资产和基础设施,还要能综合分析多种威胁及事件数据以产出具支持证据的最终情报。由于利益相关者会提出请求和问题,分析师自己也可能需要向不同人群展示或解释情报,所以良好的人际沟通技巧也是需具备的一个重要特质。对细节的关注同样重要,因为细节与分析及结论的宽度和广度相关。
分析师身上"需要"和"希望具备"的其他技术还包括:
需要
- 熟知情报分析或有强烈的学习欲望,包括谍报分析,以及表现出批判性思维技能;
- 熟悉当前黑客技术、对手方法学、漏洞分析、事件和数据泄露分析、网络防御技术;
- 处理敏感信息时表现出优秀的品格和判断力;
- 在最小监管下对情报目标进行独立研究的能力,既对细节绝对关注,又有理解事件整体视图的渴望;
- 设计、起草、发表高品质技术和商业级情报报告、研究、白皮书和博客的切实能力。
希望具备的技术
- 有主流操作系统技术工作经历和对数据库技术的理解;
- 坚实的网络专业知识和对路由协议的理解;
- 对安全监视方法学有所浸淫,比如抓包、流数据、模式、观察列表、黑名单、日志解析、关联、分类、事件产生、过滤。
正如前文提到的,情报分析师的类型很多,有些本质上更偏技术,另一些则更像是有分析和谍报背景。"完美"的分析师应该是什么样子,这个问题并没有一个标准的答案。根本原因在于:你先得弄清自己要解决的问题是什么,然后在此基础上招募人手。
新闻报道总在说安全预算又涨了多少多少,然而出于某些原因,情况似乎并没有什么改善。原因何在?因为我们没有把合适的资源用来标定最大的问题领域。情报工作的首要目标,应该专注在回答这个问题上。
相关阅读
怎样让威胁情报真正为企业服务
威胁情报指南
首席信息安全官:威胁情报到底能干什么?
我们需要什么样的威胁情报分析师?
企业如何从威胁情报中受益
改进威胁情报策略的九种方式
360网神新一代威胁情报产品发布
怎样说服董事会支持威胁情报
想上威胁情报?先搞明白这五个问题吧
黑客技术官网地址:http://www.hackdig.com/
安全公司IOactive发现,松下航电飞行娱乐系统(IFE)存在多个安全漏洞,可使攻击者获得非授权访问。松下公司断然否认。
12月20日,IOactive公开宣称其发现全球多家航空公司使用的松下IFE系统存在多个安全漏洞。这些漏洞最早是在2015年3月便由IOactive提交给了松下,直到今天才公开讨论,目的是为了给松下和各航空公司时间以解决问题。
据IOactive所言,松下曾称将通告其航空公司客户这些问题,因而IOactive并未直接向任何航空公司透露漏洞情况。就在上周,公开声明发布之前,IOactive还向航空信息共享和分析中心(A-ISAC)成员通告了此事,以便潜在的受影响者可以为消息的公布做好准备。
IOactive发现的漏洞可能导致攻击者接管乘客使用的机载屏幕,开关灯光系统,以及盗取存储在系统中的信用卡信息。这些漏洞还有可能被联合使用,让攻击者获取机上系统更广泛的访问权。
黑进IFE系统可不是受航空公司欢迎的事。2015年,安全研究员克里斯・罗伯茨宣称他通过IFE系统成功黑进一家飞机的飞行控制系统,引发了FBI的调查。与罗伯茨在飞机上就发推特出声明不同,IOactive的安全研究人员采取了另一种方式。
IOactive的首席安全顾问鲁本・桑塔马塔说:"漏洞并没有被利用,它们只是被简单而非攻击性的测试发现了。"
就实际技术组件来说,IFE系统包含有可与乘客互动的坐席显示单元,以及机组成员用来控制IFE系统的系统控制单元。坐席显示单元基本上是嵌入式设备,运行自己的操作系统,一般就是Linux或安卓。
漏洞存在于服务器端和客户端组件。
其中一些漏洞属于数据输入清洗问题。数据输入清洗,指的是程序只接受恰当输入的能力。如果没有合适的数据清洗,就有可能利用SQL注入和其他形式的安全技巧来入侵系统。网络操作中认证加密的缺乏,以及硬编码凭证的使用,也包含在IOactive发现的漏洞之中。
访问IFE系统并利用漏洞不是什么简单的事情。飞机乘客通常只能通过WiFi访问IFE系统,而这并不是IOactive漏洞被利用的方式。
IOactive不能排除WiFi情景,但鉴于他们采用的静态分析方法的限制,攻击者将需要物理接触。
除了需物理接触,另一个可能的障碍,是航空公司对机上系统实施了严格的分段。因此,IFE系统应该是与其他机上系统隔离的。然而,简单地将个人WiFi客户端和坐席显示单元隔离,并不足以彻底保证安全。
需要更复杂的方法来缓解这一风险,最终,还是修复代码更简单些。
而松下则是否认了IOactive的评定。在一份声明中,松下声称:IOactive向媒体宣布的,有关松下造IFE系统的不实指控,包含有一系列不准确的误导性表述。
松下陈述道:"IOactive选择了用高度误导性和煽动性的语言,暗指黑客可'理论上'通过松下的IFE系统获取飞行控制权。松下极力反对IOactive做出的攻击可能的暗示,呼吁IOactive澄清其研究并不支持任何此类推断。"
松下还声明称,IOactive向媒体透露的结论并非基于任何切实的发现或事实。
"所谓的潜在影响,最好也就只能被理解为理论上的,最坏则是耸人听闻的炒作,而且绝对没有任何IOactive所谓的漏洞发现证实。"
相关阅读
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论