当前,网络犯罪组织的运作模式正日趋“企业化”,给全球网络安全带来了严峻挑战。企业以及各类组织机构有必要采用威胁情报驱动的防御体系(Threat-Informed Defense, TID),将安全运营模式从被动响应彻底转向基于威胁情报主动研判、精准布防的智能化安全运营。
01
三大威胁态势演变新动向
威胁态势持续演变,关键基础设施领域所面临的网络威胁愈发复杂。网络犯罪即服务模式兴起、IT与OT威胁融合加深、AI驱动网络攻击等三大新趋势,令传统聚焦入侵指标(IoC)的安全策略,难以应对现代网络攻击的规模与速度。
01
网络犯罪即服务模式的兴起
-
网络犯罪组织的运作模式日趋“企业化”,内设多个专门部门
-
网络犯罪即服务模式兴起,尤其侦察即服务模式将提升攻击成功率
-
AI 技术武器化让侦察活动实现全自动化、高精度作业
02
IT 与 OT 威胁日趋融合
-
2024 年针对能源和公用事业行业OT网络攻击激增 300%
-
在关键基础设施领域检测到数十亿个威胁
03
AI 驱动的网络攻击
-
依托 AI 驱动框架,攻击者可实施多阶段、自适应的自动化攻击链
-
利用 AI 技术基于当地语言发起钓鱼攻击
-
借助 AI 执行高级规避技术
-
未来可能在攻击过程中进行AI实时决策
02
借助威胁情报实现主动防御
威胁情报驱动防御(TID)由 MITRE 系统化提出,其模型“情报驱动测试,基于模拟测试验证防御的有效性,而实际防御成效又将反向优化威胁情报的收集范围与精度”,形成“情报-测试-防御”的动态增强闭环。
在此坚实模型的基础之上,四大核心组件作为运营支柱,共同为 TID 策略的有效、稳健运行提供了有力支撑:
01
网络威胁情报
汇总整理威胁数据并实现情境化,帮助防御者全面了解攻击者的战术、技术和程序(TTP),威胁活动趋势以及企业特定环境中的潜在风险。
02
测试和评估
通过红、蓝、紫战队演练,持续模拟和评估真实攻击场景,深入发掘潜在暴露风险,并严格测试威胁检测与响应机制的实际效能。
03
检测工程
在攻击者持续开发新型或规避性技术时,同步完成两项关键工作适应性改造:对现有防御体系进行动态调优,确保其能捕获变种攻击;创新性构建:针对 OT 环境特有威胁及跨域攻击路径(IT-OT 融合场景),设计专属检测逻辑与可见性方案。
04
防御措施和自动响应
借助安全编排、自动化和响应(SOAR)与终端检测和响应(EDR)等高级工具,充分利用人工智能与自动化技术加速威胁响应,确保跨 IT 和 OT 环境构建协同一致、稳固可靠的安全防御体系。
威胁情报驱动防御(TID)提供了一种标准化方法,帮助我们深入了解特定于 OT 的攻击者行为。企业应充分利用这些深入的威胁见解,量身定制针对特定行业威胁的防御措施。
