正如我们一次又一次地看到的那样,网络犯罪分子将在情感上脆弱时利用任何悲惨的事件来利用他们的优势。许多预期的网络犯罪活动会增加,以利用全球大流行。但是,Covid-19的主题攻击以速度和规模迅速发展,这与我们以前见过的任何事物不同。
从2月初开始,我们每天都会看到数百至数千个与冠状病毒有关的网站出现。在3月中旬,我们也发现勒索软件伪装成一个名为“ Covid19 Tracker”的Android应用程序,表明网络犯罪分子正在尝试使用每个恶意软件发行渠道。
在中期到期游行的同一时期,我们看到了网络犯罪活动的峰值,每天注册的五千多名“ Covid”或“冠状病毒”主题领域。一个艾萨调查在此期间,有58%的网络安全专业人员表示,威胁行为者正在利用大流行来破坏其组织。
这一切都是在前所未有的,即时需要将整个劳动力转移到远程工作的过程中发生的。安全团队不仅可以专注于防御工作。他们的任务是推动组织的努力,以尽可能迅速地推出工作机会。这意味着从确保制定远程工作安全策略到帮助对家庭用户的Wi-Fi问题进行故障排除的所有内容。根据(ISC)²调查,有47%的受访者表示,在大流行中,他们已将其重新定为一般,以适应家里的不同需求。
每个人的生活都被冠状病毒完全颠覆了。安全团队比以往任何时候都更薄,坏人在敲门。一群志趣相投的网络安全专业人员没有坐在回头看着世界燃烧,而是决定将事情掌握在自己手中。最初是一个简单的松弛频道转变为COVID-19网络威胁联盟(CTC)并自愿提供服务,最终成为我在这个职业中获得的最激动人心,最有意义的经历之一。
桥接传统界限
关于威胁情报共享如何改善所有行业的安全姿势,已经写了很多文章。但是,在网络安全行业中,知识共享从来都不容易。当您的工作需要一定程度的偏执狂才能成功时,信任可能会很困难。但是,全球大流行的重力是如此沉重,以至于使我们团结在一起。
人们想利用自己的专业知识在世界上做一些好事,这意味着要防止试图利用大流行以获利的坏演员。CTC的使命说:“我们的感觉很团结,这是我们的非凡时期要求弥合传统界限以团结和目的运作。”
这个呼吁团结的呼吁每天都会出现,因为来自不同公司的志愿者可能没有理由共同努力,这是来回传递数据,以互相帮助,以在威胁调查和域名审查中互相帮助。借助我们所有的组合技能,工具和产品,我们能够快速,快速地获得允许列表和区块列表。
混乱驱动社区
当CTC设置它是供志愿者加入的松弛工作区时,起初有点混乱。但是在第一周,CTC领导人对其组织方式进行了更改,很快每个人都在全力以赴地解决COVID-19相关的网络威胁作为一个社区。
以下是我参加CTC的经验,可以帮助将来的威胁情报共享组织加速并开始尽快解决威胁。
- 尽快找出您的组织结构和操作程序,以更快地运行并避免混乱。例如,如果Slack是您的主要协作平台,则利用渠道来组织工作和IOC通过威胁向量发现。考虑您的频道名称,如果有任何选择,请选择太多频道,而不是太少。当通道重命名并将频道主题分为2或3个新频道时,可能会令人困惑。
- 设置“审查渠道”,并有一个可以尽早审查志愿者的过程。在CTC的第一周内,有数千名志愿者都参加了不同的渠道。很早就很早就需要一部分经过审查的志愿者,这些志愿者负责在您的允许清单中验证IOC或审查领域。
- 从一开始就在一个集中的地方合并IOC。CTC的第一周通过Slack有点野外West。人们在整个地方都加入了Slack Workspace,并丢弃IOC和域允许列表请求。很难搜索不同的渠道来找到相关的IOC。在一周之内,CTC转向使用Alienvault记录与Covid-19相关威胁相关的所有IOC。
- 跨组织协作的设置学科特定渠道。我高度参与的渠道之一是“数据科学”频道,该频道由来自各种网络安全公司的人们组成,每个人都对威胁景观有不同的看法。我能够与运行端点安全系统的人合作,这使我对“防火墙后面”的威胁模式看法是我通常不会在Domaintools获得的。Vise Versa,我能够通过DomainTools数据集进行人们的分析和调查。
在生存的头几周中,CTC急剧变化,但最终稳定在识别威胁并向更广泛的社区传达威胁并传达其知识方面非常有效的事物。
我们从4月初开始出版的一种可交付的是CTC每周威胁咨询。在那里,我们分析了不同相关的安全趋势,例如域名促进趋势,网络钓鱼和勒索软件攻击,以及我们那一周所经历的其他一切。任何组织都可以自由地使用它来获得最新,最出色的威胁情报,这些威胁情报由网络安全景观的组织和技术提供商的专家组合在一起。
威胁情报的路线图
威胁情报在组织之外的智能共享不仅有效,而且还增加了我们一直在浪费的价值层面。
在进行Covid之前,许多组织从未给遥控器做一个认真的思考。也许它适用于某些公司,但不适合他们的公司。许多组织的领导人说:“这是不可能的。”现在有无可辩驳的证据表明,远程不仅有效,而且人们在这个新环境中蓬勃发展。
威胁情报中正在发生同样的态度改变。当我们分享我们所知道的团体所知时,我们已经看到了多少价值。CTC允许通常会被公司边界隔离的人聚集在一起,作为更大的利益的人。我们能够组织对一个共同敌人的凝聚力防御,并反驳了“这是不可能的”的观念。威胁情报共享不仅是可能的,我们在其中蓬勃发展。
在过去的一个月中,相关的网络威胁的数量急剧下降,CTC散布了一切。但是,CTC的目标是将组织和运营结构保持在下一个重大威胁的位置。没有人期待下一个高影响力的事件,这可能会使我们再次团结在一起。但是,当不可避免的事情发生时,我们会做好准备,尤其是如果我们在网络安全社区中纳入更多威胁情报共享,这是我们每天运作方式的一部分。
最初出版安全林荫大道