1. 我是CIO首页
  2. 观点

为什么预测性威胁情报至关重要

为什么预测性威胁情报至关重要插图(1)

当库玛·瑞特什(Kumar Ritesh)离开英国情报服务部门,在IBM,普华永道(PricewaterhouseCoopers)和全球资源管理公司必和必拓(BHP)担任网络安全的各种职务时,他发现威胁情报的组合和使用方式存在问题。

在Ritesh担任首席信息安全官的必和必拓公司,董事会成员经常想知道哪些威胁行为者对必和必拓在2014年至2015年间针对网络威胁的数量不断增加负责。

里特什说:“一年之内,我们开始看到针对我们的新威胁和攻击,这些威胁和攻击更多地集中在破坏采矿业务和泄露信息上。” “计划周密,但是重要的是要真正了解为什么会这样。”

但是,必和必拓的顶级网络安全供应商,包括FireEye,Palo Alto Networks,Recorded Future和Cisco等知名供应商,都没有明确的答案-尽管Ritesh的安全预算已接近2亿美元。

里特什说:“每个人都对事情的发生太在意了。” “看起来好像有人仿冒了一封仿冒电子邮件,其中安装了恶意软件。而且恶意软件正试图从组织中获取信息。”

Ritesh指出了网络杀伤链的不同阶段,甚至在了解网络破坏如何发生之前,组织还需要了解5W:攻击者是谁,他们追随的对象是什么,何时攻击,在哪里以及为什么?正在计划攻击。

他说:“所有这些都构成了管理智能的一部分,只有当您对问题的组成部分,谁,什么,何时,何地以及为什么有答案时,”他强调了将智能化为背景的重要性。组织的运营环境。

他补充说:“除非您的情报非常针对您的行业,您的工作所在地或基础架构,否则情报就没有意义。”

Ritesh说,大多数威胁情报也往往是反应性的而不是预测性的。例如,当出现新的恶意软件时,威胁情报供应商通常会为企业定制危害指标(IOC),然后将其应用于整个基础架构中以防范威胁。

里特什说:“如果情报不是预测性的,那就不是情报。” 如果您查看诸如中央情报局之类的机构,并且我与它们进行了非常紧密的合作,那么当我们向执法机构提供情报时,情报总是基于我们处理过的信息,我们说这就是前进的方向。然后,执法机构可以采取纠正措施以对此做出适当反应。”

Ritesh看到了建立威胁情报平台的商机,该平台将帮助企业发现网络威胁,解码噪声信号以获取有用的见解,并在实际攻击发生之前对网络罪犯采取补救措施。

里特什(Ritesh)仅用四张幻灯片向风险投资家和投资者宣传。其中之一,高盛(Goldman Sachs)买了这个主意,并把他的业务孵化为Antuit研发部门的一部分,后者是一家由投资银行提供资金的大数据分析初创公司。在2019年,该部门从Antuit拆分出来成立Cyfirma,Ritesh现在担任董事长兼首席执行官。

如今,该公司在新加坡,印度和日本都设有办事处,在这个苛刻的市场中,NEC,东芝和NTT等大公司都是客户。里特什说:“如果我们没有尽可能高的情报质量,或者我们的平台不是非常复杂,那么我们就不会在这个市场中生存。”

提供情境化,可行的威胁情报的关键通常要求供应商对客户的操作环境有所了解,但通常认为此类信息过于敏感。

Ritesh曾在必和必拓任职威胁情报公司时曾有过类似的担忧,他说Cyfirma试图让自己陷入犯罪者的脚下,以找出可能试图闯入客户网络的人。

这是通过部署900个虚拟代理程序来找出威胁参与者在诸如黑暗网络之类的地下论坛和市场上所说的话,并着眼于将相同犯罪者进行的活动之间的点点滴滴联系起来,并确定与民族国家和黑客团体的任何联系来完成的。

所有这些数据都被吸收到Cyfirma平台中,然后该平台应用数学模型来处理数据并找到5W的答案。Ritesh说:“如果找不到答案,那么我们将返回数据源以寻求更多信息。”

理解威胁情报是关键,但是由于不同的涉众在数据中寻找不同方面,Cyfirma提供了四种不同的仪表板视图。

其中包括对对运营信息感兴趣的安全主管的威胁视图,以及对希望了解其组织的网络安全状况与同行业同行的差异的风险和合规负责人的风险视图。

为了减少误报的数量,Ritesh说,只有高度确信威胁行为者已采取特定行动(例如针对某些漏洞并设置命令和控制服务器来促进攻击)时,才会向客户端提供威胁情报。

“我们减少误报的能力非常高,” Ritesh说。“我想说,如果我必须给您一个电话号码,我们有80%的时间能够为您提供适用于您的见解-这就是我们的秘密。”

Cyfirma已从高盛,Zodius Capital和Z3Partners筹集了800万美元,现在正寻求筹集2500万美元的B系列资金,以改善与其他安全解决方案的产品集成,并将其业务范围扩展到美国,欧洲和中东。

本文为作者 已诺 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论