威脅管理是企業用來偵測、防範及回應針對其資訊科技系統、網絡及資料的攻擊與威脅的一項保安流程。
今日的企業正面臨著持續不斷的精密而隱密的網絡威脅。威脅管理是一種主動而有目標的方式,專門用來應付這些威脅。它涵蓋了各種政策、程序與流程,讓企業能夠發掘、評估及防範所有攻擊,包括病毒、資料、網絡釣魚詐騙、SQL 程式碼注入攻擊、分散式阻斷服務攻擊、身份威脅及殭屍網絡攻擊。
威脅管理是威脅偵測與回應的重要一環,因為它能協助企業發掘受攻擊面的任何漏洞。如此一來,團隊就能預測黑客最可能攻擊何處、偵測針對網絡資訊保安的活躍威脅與潛在威脅,並且在資訊科技基礎架構遭到攻擊時盡可能迅速而有效率地果斷回應。
威脅管理策略的關鍵要素
一套完整的威脅管理策略,包含了幾項關鍵元素來盡可能提供最大防護。包括:
- 多重協調的防禦機制來提升企業的整體資訊保安狀況。
- 持續監控及評估以發掘漏洞
- 主動偵測威脅,在網絡攻擊造成傷害之前預先發掘。
- 詳細的事件回應計劃,可快速、經濟地攔截、防範及復原網絡攻擊。
威脅管理與風險管理
雖然威脅管理與風險管理都是網絡資訊保安的重要工具,但兩者之間卻有很大的差別。
風險管理主要是主動的,因為它主要是為了協助企業預測及防範潛在或假設性的風險,在攻擊發生之前預先消除系統的任何缺失、弱點或漏洞,而非在發生特定威脅或攻擊之後加以處理。
另一方面,威脅管理則採取一種更被動的網絡資訊保安方法,協助企業在實際威脅或攻擊發生時盡早攔截並防範,然後盡快有效地回應事件。
威脅管理如何運作?
威脅管理策略利用最新領先業界的威脅情報來隨時掌握最新威脅,更了解網絡犯罪集團的心態、動機和方法,並降低攻擊所造成的損害。利用這些情報,威脅管理程序就能持續重複三個步驟來發掘、評估及回應威脅:
第一步:身分辨識
網絡資訊保安團隊會徹底盤點並分析企業的資訊科技網絡、系統及流程,以發掘任何缺失或漏洞。
第二步:評估
任何已發現的漏洞都會經過評估,並且部署各種網絡資訊保安工具、實務方式及技術來填補漏洞、實施新的存取管控,並且提升企業偵測、發掘及回應網絡攻擊的能力。
第三步:回應
最後,幾乎任何威脅的回應與復原計劃,都是為了讓企業更有效率地回應攻擊並從過去的事件中學習。如此一來,他們就能在未來更妥善地防範類似攻擊。
為了加快回應速度並盡可能減少潛在損害,威脅管理策略通常包括持續即時監控,以及全天候 24 小時快速回應計劃,協助企業迅速、有效率地處理任何事件。
此外,威脅管理策略也可與現有的資訊保安工具、政策及營運密切整合,建立更協調、更團結的方法,提升企業的資訊保安狀況,並且盡可能降低風險。
威脅管理工具與技術範例
威脅管理策略將各種不同的防禦方法整合到單一協調的資訊保安方案中。包括以下工具和技術:
- 安全資訊與事件管理
- 入侵偵測
- 用戶端偵測與回應
- 擴展式偵測與回應
- 網絡偵測與回應
- 身份威脅偵測與回應
- 託管式偵測與回應
- 即時威脅監控與分析
- 防間諜程式與惡意程式防護
- 駐場防火牆或防火牆即服務(FWaaS)按期付費訂購
- 漏洞掃描工具
如同許多其他網絡資訊保安領域一樣,人工智能與機器學習近年大幅改善了威脅管理的成效。除了分析大量的原始資料之外,人工智能工具還能了解企業的正常活動模式,更快偵測異常狀況,並且提高準確度。如此一來,企業就能發掘日益複雜的攻擊,並大幅提升威脅偵測與回應功能。
此外,隨著企業越來越依賴雲端資訊科技服務與基礎架構,威脅管理策略也開始演變,包括防火牆即服務(FWaaS)這類雲端防護系統,保護企業內及雲端環境內的資料並管理威脅。
有效管理威脅的最佳實務守則
最有效的威脅管理策略,通常會遵循幾項關鍵的最佳實務守則。包括建立一套詳細而主動的威脅管理架構、定期的漏洞評估、威脅模型、持續的即時威脅追蹤,以及各種完整的事件回應計劃。
此外,確保網絡資訊保安團隊能持續接受訓練並定期更新,進而隨時掌握最新威脅並應付各式各樣的攻擊,這一點也很重要。
最後,自動化網絡資訊保安系統在威脅管理上扮演著關鍵角色,讓企業能夠更快、更有效率地偵測、分析及回應網絡資訊保安威脅與攻擊。
哪裡可以取得威脅管理的協助?
趨勢科技威脅情報提供了對新興威脅、漏洞與入侵指標的深入啟示,並擁有 35 多年的全球威脅研究經驗。擁有超過 2.5 億個感測器、超過 450 名全球專家的研究,以及業界最大的 Trend ZDI 漏洞懸賞計劃™(ZDI),提供無可匹敵的情報來提供主動式防護。
再加上 Trend Vision One™ Security Operations(SecOps),您的企業就能利用 XDR、SIEM 和 SOAR 的強大功能來主動偵測、調查及回應。關聯端點、伺服器、電郵、身份、行動、資料、雲端工作負載、營運科技、網絡及全球威脅情報來源的事件,展現最高優先次序、可採取行動的警示,並將複雜的回應動作自動化。