4.6 威胁生命周期管理

在威胁生命周期管理方面的投资,可以使组织在攻击发生时立即阻止攻击。对于当今的任何一家公司来说,这都是一项值得的投资,因为统计数据显示,可看得见的网络入侵并没有减缓。从2014年到2016年,网络攻击增加了760%。网络犯罪正在增加的原因有三个。首先,有更多有动机的威胁行为者。对于一些人来说,网络犯罪已经成为一种低风险、高回报的业务。尽管入侵数量增加,但定罪率一直很低,这表明被抓获的网络罪犯非常少。

与此同时,组织正在因这些动机强烈的威胁行为者而损失数十亿美元。入侵数量增加的另一个原因是网络犯罪经济和供应链的成熟。如今,只要网络罪犯能够支付相应的金额,他们就能够得到大量待售的漏洞和恶意软件。网络犯罪已经成为一项业务,因为有充足的供应商和有意愿的买家。随着黑客主义和网络恐怖主义的出现,买家正在成倍增加。因此,这导致入侵事件的数量史无前例地增加。

最后,由于组织攻击面的不断扩大,入侵事件呈上升趋势。新技术的采用,带来了新的漏洞,从而扩大了网络犯罪分子可以攻击的范围。

物联网作为组织技术的最新补充之一,已经让不少企业遭受黑客攻击。如果组织不采取必要的防范措施来保护自己,未来的前景将暗淡渺茫。

现在可以进行的最佳投资是在威胁生命周期管理方面,这样才能根据所处的阶段对攻击做出适当的响应。2015年,Verizon的一份调查报告称,所有调查攻击中,有84%的攻击在日志数据中留下了证据。这意味着,运用适当的工具和思维方式,这些攻击本可以在足够早的时候得到缓解,防止损害。

威胁生命周期管理有六个阶段。

如图4-12所示,第一阶段是取证数据收集。在检测到全面威胁之前,在IT环境中可以观察到一些证据。威胁可能来自IT的七个域中的任何一个。因此,组织可以看到的IT基础设施越多,可以检测到的威胁就越多。

图4-12 威胁生命周期管理的步骤

威胁生命周期管理六个阶段包含从取证数据收集到发现、鉴定、调查、消除和恢复等阶段。