叮咚！针对Gartner最新安全趋势的全

Gartner关于-年的网络安全趋势文已经发布两周了，第一篇趋势详细分析也在上周五如期而至，不仅在安全圈内被广泛传播，在ISC·安全创客汇上，红点创投全球主管合伙人也对这12个趋势表达了极大的认可，认为其代表了安全行业未来发展方向。

本篇是趋势详细解读的第二篇，分析了威胁情报、自适应安全和机器学习。

一、威胁情报

1、什么是威胁情报及威胁情报平台？

Gartner定义的威胁情报（ThreatIntelligence，以下简称TI）是关于已出现或新的资产威胁和危险的、基于证据的信息，包括情景、机制、指标、影响和可行建议，可用来通知企业针对相关威胁或危险做出决策。

威胁情报平台（ThreatIntelligencePlatforms，以下简称TIPs）是用来收集、关联实时数据，并对其分类、整合的一个平台，可优先支持防御行动。同时，还会整合现有安全技术和流程并加以补充，解决了在多个利益相关人和不同群体之间快速分享MRTI的需求。

2、TIPs的特征

收集TIPs可以从各类资源中获取威胁情报，如开源机读情报来源、商业情报来源、公开情报来源、各类厂商提供的API，并使各种形式的TI标准化，这是TIP区别于SIEM的关键点。关联TIPs能够分析、关联、转移或丰富数据，以便得到更多权威信息和数据情景。每一个邮件地址、URL、域名、IP地址或文件都能给已有威胁提供一个更具说服力、更完整的图像。分类一旦收集并关联了信息，分析师就可以分类、找出威胁情报。对IP地址、MD5签名、主机入侵标志、域名和URL等进行分类和补充。分析师可以对威胁主体群、ISP或其他允许建立配置文件的共性进行分类。集成一个功能齐全的TIPs能够集成海量上游资源中的信息流，并将其转化，用于大量的下游工具。行动一般来说，TIPs不会自动采取行动，它们更多地是一种进程，自动化和分析工具，但是一些TIP为用户提供了触发行动任务的能力，这些行动一般由其他用户来完成，以便让大量用户在事件前或事件中采取协调式工作流程。共享

快速分享威胁情报的强化能力是TIP的一个重要特征，也是区别于其他平台的区分点。

采用TIP分享情报有两种方式：内部分享+外部分享，TIPs一个最大的好处就是能够创建并加入一个“信任圈”，与其他企业分享情报。

3、应用

Gartner在报告TheFiveCharacteristicsofanIntelligence-DrivenSecurityOperationsCenter中特别提到，安全运营中心体系架构必须接入安全情报，充分感知安全环境，以情报作为驱动力。

Gartner认为必须建立威胁情报平台，才能实现威胁情景可视化、互相关联、感知情景。二、自适应安全

1、什么是自适应安全架构？

自适应安全架构（AdaptiveSecurityArchitecture，以下简称ASA）是Gartner于年提出的面向下一代的安全体系，云时代的安全服务应该以持续监控和分析为核心，覆盖防御、检测、响应、预测四个维度，可自适应于不同基础架构和业务变化，并能形成统一安全策略应对未来更加隐秘、专业的高级攻击。

2、ASA四大功能简介

防御包括预防攻击的现有策略、产品和进程。通过降低攻击面来提高攻击门槛，拦截攻击者，阻断攻击方法，加固保护应用。检测用于发现、规避战略攻击。检测目的在于减少威胁的停留时间，进而减少威胁可能造成的损害。在发现攻击后，及时确认并给事件作优先排序，紧急处理高危事故，防止事件升级。响应调查、修复检测能力（或外部服务）发现的问题。能提供取证分析、根因分析、新的预防措施以避免未来事件发生。预测

预测能力使安全企业可从外部监测黑客行动，主动预测针对当前系统状态和数据的新型攻击，主动评估风险并优先解决暴露的问题。还能设立安全基线，用于向“防御”和“检测”提供反馈。

3、ASA最佳实践

防御（1）在持续攻击的时代，企业需要转变安全思维：从“应急响应”转变为“持续相应”，认清持续监控的必要性。（2）提高防御能力要从强化战略防御开始，比如把EPP产品/服务更新到最新版本、增加网络沙箱实现深度防御、利用威胁情报feeds升级网络边界安全、利用白名单保护服务器、采用weib应用程序安全测试服务。检测（1）大多数企业没有信息安全人员来专门管理和监控每种检测和响应方案，也无法实现7X24小时的检测和响应服务。所以可以考虑将威胁检测作为一项托管服务。（2）可以给EPP厂商施压，增加终端检测和响应（EDR）功能，减少agent部署量、降低开支。（3）迅速隔离被感染系统和账户，防止其感染其他系统。常见的隔离能力包括：端点隔离、账户封锁、网络层隔离、系统进程关闭。响应（1）调查审计：当被感染的系统和账户被隔离后，要回溯分析事件过程，利用持续监控得到的数据，从根本原因上解决再次感染的可能。（2）确定响应模型后，利用安全联动系统来实现自动化响应。（3）为预防新攻击，企业需要更改某些策略和控制，如关闭漏洞、关闭网络端口、升级系统配置、修改用户权限或者提升信息防护选项的强度。预测（1）持续更新对终端设备、服务器系统、云服务、漏洞和接口设定的安全基线。（2）通过检测黑客意图、







































北京那个医院看白癜风最好
白癜风初期是什么症状