学会与网络威胁共存

网络威胁就像感冒或者其他什么感染性病毒，谁也无法避免。但这是生活的一部分，它们就在那里，伺机给你来上一下，让你的生活变得有那么点点艰难。

同时，你又不能以牺牲业务发展的方式全情投入到防范潜在风险上。你必须在不干扰现有业务，不妨碍未来发展的前提下保护好自己。这意味着，你得采取成熟的风险管理方法，明智地分配预算，让自己的IT团队有余力支持新工作方式的同时还能为公司提供最大限度的防护。

了解攻击链

在打算与风险共存之前，你得先了解面对的风险到底是什么样子的，描绘出风险演变成攻击的可能路线图。老牌安防公司洛克希德向军方寻求答案，借鉴了军方“杀伤链”的概念，也就是最初用于描述运动攻击结构的概念。

由Websense、石软(Stonesoft)与雷神(Raytheon)新组成的安全公司Forcepoint描述的“杀伤链”(Kill Chain)则与洛克希德略有不同：

Forcepoint 七步杀伤链

1. 侦察：攻击前期，恶意行为人将收集尽可能多的情报，摸清目标网络和组织架构情况 -->

2. 诱骗：洛克希德描述为“武器化”，但Forcepoint认为这一阶段的特征在于诱饵的创建，比如电子邮件、社交媒体帖子，或者其他貌似合法链接的发布内容 -->

3. 重定向：洛克希德的杀伤链中称这一步为“投放”。Forcepoint则强调，放出的诱饵会将用户重定向到包含了漏洞利用链接的页面上去 -->

4. 漏洞利用：这一阶段，漏洞利用工具包将被用于扫描目标系统的弱点，谋取进入目标系统的权限。网络钓鱼攻击者可能会获取到用户凭证。恶意攻击载荷也许会勾取到未打补丁软件产品中的某个漏洞 -->

5. 安装/释放文件：漏洞利用工具包找到系统弱点，释放恶意软件，感染系统，然后搜寻可提取的数据 -->

6. 命令与控制：恶意载荷回连攻击者，创建控制信道，让攻击者得以借由控制信道操纵恶意软件，执行最终命令 -->

7. 在目标上的动作：索钱环节。攻击者可利用恶意软件在目标系统里为所欲为，包括盗取数据、偷取知识产权，或者窃取内部资源等等。

区分不同种类的攻击

将第二阶段描述为诱骗，并采取灵活的应对措施，可以解决洛克希德模型中一个广受诟病的问题点——只注意到恶意软件而排除了网络钓鱼攻击。不是所有的威胁都会走完所有步骤，而且攻击阶段有可能会循环往复，大大延伸了杀伤链7步过程的内容。这些步骤为网络罪犯提供了成百上千种在相当长的时期内创建执行APT的方法。

安全从业人员想保护自家公司不受威胁侵害，就得从漫天方法中找出针对性的那几个，跟大海捞针，还是捞一把针，也差不多了。他们必须识别不同类型的攻击，在必要的地方区分开来，或者找出单个来看不显眼，但结合上下文就昭示着大事件的那些小事件之间的联系。

想弄清当前状态，工具是必需的。事件关联引擎这种好工具是必备品，但它还得用在寻找正确的事件上。

高级安全团队能走得更为深入，将工具层当做其他统计分析工具的数据源，对网络正常行为进行建模。这将有助于安全团队更容易地检测异常行为。但这不是一蹴而就的事，模型成熟度是需要训练的。

通观全局，事无巨细全盘了解，有时候是难以完成的任务。总有些地方是观察不到的，总有些小事件无法关联到一起。

安全团队的预算优先权

如果同时关注所有事件是不可能完成任务，那么搞个分诊台可能是最经济有效的长远之计。有头脑的公司会给自己跨越攻击和技术的网络安全运营设定优先级，好钢用在刀刃上。也就是弄个镜头来帮自己聚焦到真正重要的事务上。

先从将你的安全活动框进一个实际的安全模型中开始，让它们符合一个真正专注于IT安全的框架。美国国家标准技术研究所（NIST）安全框架是首选。还有一些政府工具和私人实践操作可以帮助公司企业将其他专业领域的框架映射到NIST中。这里说的其他框架包括：从风险管理角度出发的COSO，国际信息系统审计协会ISACA用来进行IT管控的COBIT，存储信用卡数据的PCI-DSS，美国医疗业务的HIPPAA，美国联邦政府安全评估和检测标准方法FedRAMP。

所有这些都需要外部控制器接口(PCI)映射到NIST框架中。PCI能耦合所有第三方要求和内部业务需求，让你可以明确地选择放置安全控制的地方。这一做法的重点在于理解该怎样审慎而明智地将你的安全工具预算发挥最大效益。一个好的风险评估，结合对安全工具特点的理解，能帮助首席信息安全官(CISO)理顺安全支出的优先级。

但长期来看，只做到这些或许还不足够。攻击者数量永远比防御者多，资金支持也更雄厚。这是一场越来越难以赢得的猫鼠游戏。依靠各款单项最佳产品的组合会引发警报和网络噪声的大爆发，只会增加复杂性而不是让你的安全态势更明朗。在非常现实的意义上，安全行业目前处于一种只见树木不见森林的境地，不能及时提供可靠、可行的数据供IT人士更快地抓住威胁。一些网络防御提供商已经意识到了这一点，正在转向用更全面的方法来更快更准确地从噪音中分离出真正的威胁来。

在一些低风险的领域，可用为期1年的员工培训对付过去，然后再推出技术解决方案进行强化，提供更多的防护。

利用自动化分析打磨直觉判断

人的因素是很重要的。工具可以提供合适的数据，但如何解释它们仍然需要敏锐的眼光。团队中有那么一两个很棒的分析师简直价值千金。随着安全实践不断进化发展，分析师将会更多地利用自动化和分析补完他们的直觉。

但要达到这么复杂的水平，外部威胁数据和内部工具的结合不能少。我们将见证更多的信息共享。美国的ISACS已经让信息安全威胁共享变得更容易了。自动化、结构化的信息共享也正在兴起——采用Facebook家威胁交换(ThreatExchange)这样的API(应用编程接口)驱动的服务，以及描述新兴
安全事件的分类法和协议(STIX/IODEF/RID)。还有VERIS事件记录语言——能让我们在事发后吸取经验教训的语言。