It’s a Balancing Act with CTI and DTI in Modern Cyber Defense

看看任何組織,他們都會告訴你他們曾經成為數據洩漏的目標——不僅是政府機構和全球企業,甚至小型企業也未能倖免。網絡攻擊以各種形式出現,其中最常見的包括惡意軟件、釣魚、DDoS和中間人攻擊,而勒索病毒攻擊能夠徹底削弱一個組織的運營時間。

根據ITRC年度數據洩漏報告,僅在2023年就發生了超過兩千起洩漏事件,並且沒有放緩的跡象,更不用說日益上升的地緣政治緊張局勢。

這突顯了一個不舒服的真相:被動的網絡安全已經不再足夠。我們現在需要開始採取前進防守的心態。為了應對不斷的網絡攻擊,公司需要採取主動的威脅管理方法。我們應該預測並消除威脅,避免它們抬頭並升級。

威脅情報的關鍵組成部分可以分為網絡威脅情報(CTI)和直接威脅情報(DTI)——這兩種防禦同樣重要,並共同形成一種全面的策略,從各個角度解決即將來臨和潛在的威脅。

網絡威脅情報——您的戰略眼睛,描繪網絡威脅範圍

CTI是指以更廣泛的意義系統地分析網絡威脅數據——為組織提供對當前和新興威脅的可操作見解。這類情報包括學習對手的戰術、技術、程序和妥協指標,以獲得有意義的見解來指導安全決策。

利用先進數據分析,CTI平台通過其傳感器網絡處理超過十億個數據點,以提供對新興威脅和威脅範圍趨勢的深入見解。簡而言之,CTI為組織提供了他們可能面臨的網絡安全威脅的宏觀視圖。

通過利用CTI,組織可以主動識別潛在的攻擊向量,並幫助事件響應團隊迅速識別攻擊的來源。以2021年至2024年間針對高價值法國外交實體和企業的Nobelium攻擊為例。CTI計劃得以及早檢測和抑制入侵嘗試,這要歸功於實時威脅情報的流。其他許多早期的重大洩漏事件,如Yahoo!、Microsoft、Facebook、LinkedIn、摩根大通和家得寶也為基於CTI獲得的見解修訂網絡安全政策提供了警示。

然而,CTI在單獨使用時存在局限性,因為它有時具有回顧性和廣泛性,這就是為什麼將其與實時威脅數據整合可以增強其適用性。CTI在收集和分析的情報類型上可以廣泛覆蓋。許多CTI是廣泛的,不一定與特定組織及其概況相關。這可以創造有價值的情報,但同時,它也會產生大量噪音。

傳統的思維方式要求我們必須對每一條收集和分析的信息產生可操作的情報。這是一項艱鉅且幾乎不可能完成的任務,可能導致大量信息無法及時處理或情境化。CTI可以提高對新興和演變威脅的操作準備;然而,通過DTI增強這種方法可以改變遊戲規則,並為您的企業創造一種前進防守的方法。

直接威脅情報——您的戰術屏障,對抗存在威脅

DTI對於組織預測即時和迫在眉睫的威脅至關重要。與CTI相比,CTI從歷史數據洩漏事件中提取數據,而DTI則使用零接觸、非侵入性技術映射整個存在威脅範圍,通過分析威脅行為者的模式和行為,利用實時數據可視化威脅,為安全團隊提供他們需要迅速行動的關鍵信息。

DTI有能力看到每一個存在威脅,並可視化威脅行為者和威脅運動在打擊範圍內和進入攻擊陣型。DTI還可以在最早8週之前看到威脅,這突顯了這種類型的智能及其在提供及時、可操作的情報方面的作用,這可以預先擾亂潛在的網絡攻擊。

隨著DTI系統持續收集和分析數據,這種情境化幫助安全團隊理解威脅的性質並減輕其潛在影響。摩根大通在面對每天高達450億次的駭客攻擊嘗試的持續戰鬥中,已經在主要金融機構之間建立了一個威脅情報共享平台,使網絡威脅信息的實時交流成為可能。

類似地,IBM的零信任模型基於“永不信任,始終驗證”的原則,將實時威脅檢測與嚴格的訪問控制相結合,有效減少數據洩漏事件。鑒於不斷的網絡攻擊,DTI對於目前的安全設置至關重要,因其動態特性,使其在當前的安全設置中不可或缺,特別是當與CTI結合時以實現全面的威脅響應策略。

CTI與DTI結合——您統一的防禦,以預防即將來臨和潛在的威脅

一種結合CTI的戰略廣度和DTI的戰術即時性的綜合方法,創造了更強大的防禦機制。協同作用增強了檢測能力和整體系統的韌性,通過提供對威脅範圍的全面視圖,並配合精確、可操作的反應。

這一綜合威脅情報策略正在朝著主動的網絡安全立場轉變,這得益於新技術的出現和採用。例如,Palo Alto Networks的AI驅動安全平台專注於提高威脅檢測率,以幫助客戶解決複雜且具挑戰性的網絡安全問題——這清楚地表明了成功的AI整合。

儘管採用區塊鏈技術是顯而易見的,因為其去中心化的特性支持加密安全的概念,但51%的攻擊是由於某個實體控制了網絡。這顯示出僅使用去中心化的帳本安全記錄交易是不夠的,優先考慮網絡安全將對保護區塊鏈網絡免受威脅至關重要。

雖然許多組織正在轉向支持AI和區塊鏈技術的平台,但他們仍然缺乏情境化威脅情報的主要成分。隨著DTI的出現,結合傳統CTI,組織有可能建立強大的應用程序和平台,將這些技術統一整合。

政府機構和私營部門正在投資於AI、區塊鏈和尖端的DTI解決方案,以重新定義他們的網絡安全風險和方法。為了跟上對手的步伐,利用AI和DTI將成為測量風險和保護企業及其有價值的數字資產的變革者。

網絡安全仍在不斷演變,行業每天都在接受考驗以跟上步伐。人工智能、區塊鏈、DTI和量子計算等技術為未來的創新和機遇提供了一瞥。AI每天都在變得更智能,隨著量子計算的出現,未來8到10年內將會得到完善。

我們正在進入一個以智能為主導的範式,每個方面都將以此為主導。這將推動未來,並允許行業在規模上構建平台和處理大量數據。我們必須意識到,我們的網絡對手也在同一場比賽中,並將試圖將這些技術武器化,以對抗更大的利益。行業保護其在技術上的投資以維持其戰術優勢和信息主導地位至關重要。

前進的方式是前進防守

隨著網絡威脅持續演變並困擾網絡空間,我們的策略也必須演變。網絡安全正從直接和攻擊性的方式轉向應對威脅,採取前進防守的方法,以預測和消除威脅,防止其造成危害。

網絡安全的未來是動態而強大的,利用AI、區塊鏈和量子計算來建立彈性系統。這種技術的轉變也反映了思維方式的轉變——從被動轉向主動,從防守轉向進攻。

更多實施動態和無法穿透的網絡防禦的組織將無意中提供更多機會,以獲得幫助未來威脅的戰略規劃的長期見解。隨著我們不斷創新,顯然在與網絡威脅的戰鬥中,主動情報是唯一的前進之路。

這篇文章《在現代網絡防禦中,CTI和DTI的平衡行動》首次出現在Metaverse Post上。