當前,網絡犯罪組織的運作模式正日趨“企業化”,給全球網絡安全帶來了嚴峻挑戰。企業以及各類組織機構有必要采用威脅情報驅動的防御體系(Threat-Informed Defense, TID),將安全運營模式從被動響應徹底轉向基于威脅情報主動研判、精準布防的智能化安全運營。
01
三大威脅態勢演變新動向
威脅態勢持續演變,關鍵基礎設施領域所面臨的網絡威脅愈發復雜。網絡犯罪即服務模式興起、IT與OT威脅融合加深、AI驅動網絡攻擊等三大新趨勢,令傳統聚焦入侵指標(IoC)的安全策略,難以應對現代網絡攻擊的規模與速度。
01
網絡犯罪即服務模式的興起
-
網絡犯罪組織的運作模式日趨“企業化”,內設多個專門部門
-
網絡犯罪即服務模式興起,尤其偵察即服務模式將提升攻擊成功率
-
AI 技術武器化讓偵察活動實現全自動化、高精度作業
02
IT 與 OT 威脅日趨融合
-
2024 年針對能源和公用事業行業OT網絡攻擊激增 300%
-
在關鍵基礎設施領域檢測到數十億個威脅
03
AI 驅動的網絡攻擊
-
依托 AI 驅動框架,攻擊者可實施多階段、自適應的自動化攻擊鏈
-
利用 AI 技術基于當地語言發起釣魚攻擊
-
借助 AI 執行高級規避技術
-
未來可能在攻擊過程中進行AI實時決策
02
借助威脅情報實現主動防御
威脅情報驅動防御(TID)由 MITRE 系統化提出,其模型“情報驅動測試,基于模擬測試驗證防御的有效性,而實際防御成效又將反向優化威脅情報的收集范圍與精度”,形成“情報-測試-防御”的動態增強閉環。
在此堅實模型的基礎之上,四大核心組件作為運營支柱,共同為 TID 策略的有效、穩健運行提供了有力支撐:
01
網絡威脅情報
匯總整理威脅數據并實現情境化,幫助防御者全面了解攻擊者的戰術、技術和程序(TTP),威脅活動趨勢以及企業特定環境中的潛在風險。
02
測試和評估
通過紅、藍、紫戰隊演練,持續模擬和評估真實攻擊場景,深入發掘潛在暴露風險,并嚴格測試威脅檢測與響應機制的實際效能。
03
檢測工程
在攻擊者持續開發新型或規避性技術時,同步完成兩項關鍵工作適應性改造:對現有防御體系進行動態調優,確保其能捕獲變種攻擊;創新性構建:針對 OT 環境特有威脅及跨域攻擊路徑(IT-OT 融合場景),設計專屬檢測邏輯與可見性方案。
04
防御措施和自動響應
借助安全編排、自動化和響應(SOAR)與終端檢測和響應(EDR)等高級工具,充分利用人工智能與自動化技術加速威脅響應,確保跨 IT 和 OT 環境構建協同一致、穩固可靠的安全防御體系。
威脅情報驅動防御(TID)提供了一種標準化方法,幫助我們深入了解特定于 OT 的攻擊者行為。企業應充分利用這些深入的威脅見解,量身定制針對特定行業威脅的防御措施。
