何謂威脅管理?

威脅管理是一種網路資安流程,可讓企業偵測、防範及回應針對其 IT 系統、網路與資料的網路攻擊和資安威脅。

今日企業隨時得面對精密、狡詐的資安威脅,威脅管理就是一種有意識地主動處理這些威脅的作法,囊括了各種可讓企業發掘、評估及防範一切威脅的政策、程序與流程。這些威脅包括:病毒、資料外洩、網路釣魚詐騙、SQL 資料隱碼攻擊、分散式阻斷服務 (DDoS) 攻擊、身分威脅,以及殭屍網路攻擊等等。

威脅管理是威脅偵測及回應 (TDR) 的重要一環,因為它能協助企業發掘其攻擊面上的任何漏洞。如此一來,就能預測駭客最可能攻擊何處、偵測活躍或潛在的網路資安威脅,並盡可能迅速、有效、果斷地回應針對其 IT 基礎架構的攻擊。

威脅管理策略的關鍵要素

一套完整的威脅管理策略,須包含幾項關鍵要素才能提供最大的防護,包括:

  • 多重協同運作的防禦機制,提升企業整體的資安狀況。
  • 持續的監控與評估,藉此發掘漏洞。
  • 主動式威脅偵測,在網路攻擊造成損害之前預先發掘。
  • 詳細的事件回應計畫,快速而經濟地遏止和削弱網路攻擊,並從中復原。

威脅管理與風險管理的差異

雖然威脅管理與風險管理都是重要的網路資安工具,但兩者之間卻存在一項重大差異。

「風險」管理本質上是主動的,因為其重點在於協助企業預測及防範潛在或假設性的風險,在攻擊發生之前預先消除企業系統中的任何缺失、弱點或漏洞,而非等到威脅或攻擊發生之後再來處理。

「威脅」管理則是採取一種較為被動的網路資安方法,協助企業在實際威脅或攻擊發生之後盡早進行攔截和防守,並且盡快有效地回應這些事件。

threat-graph

威脅管理如何運作?

威脅管理策略是運用領先業界的最新威脅情報來隨時掌握新興威脅,深入了解駭客集團的心態、動機和方法,進而降低攻擊造成損害的風險。在這些情報的基礎上,威脅管理將藉由一種不斷循環的三步驟程序來發掘、評估及回應威脅:

第一步:發掘
網路資安團隊要徹底盤點並分析企業的 IT 網路、系統及流程,以發掘任何缺失或漏洞。

第二步:評估
任何已發現的漏洞都要經過評估,並且部署各種網路資安工具、實務作法和技術來填補漏洞、實施新的存取控管,並且提升企業偵測、發掘及回應網路攻擊的能力。

第三步:回應
最後,針對各種類型的威脅擬定適當的回應和復原計畫,讓企業更有效率地回應攻擊,並從過去的事件當中記取教訓,這樣企業未來就更能妥善防範類似的攻擊。

how-does-threat-management-works

為了加快回應速度並盡量降低可能的損害,威脅管理策略通常還包括持續的即時監控,以及 7 天 24 小時的快速回應計畫,協助企業迅速而有效率地應付任何事件。

此外,威脅管理策略也可與現有的資安工具、政策及營運無縫整合,建立更協調連貫的方法來改善企業的資安狀況,並盡可能降低風險。

威脅管理工具與技術範例

威脅管理策略可將各種不同的防禦方法整合到單一協調的資安解決方案當中,包括以下工具和技術:

  • 資安事件管理 (SIEM) 系統
  • 入侵防護 (IPS)
  • 端點偵測及回應 (EDR)
  • 延伸式偵測及回應 (XDR)
  • 網路偵測及回應 (NDR)
  • 身分威脅偵測及回應 (ITDR)
  • 託管式偵測及回應 (MDR)
  • 即時威脅監控與分析
  • 間諜程式與惡意程式防護軟體
  • 現場防火牆或防火牆服務 (FWaaS) 訂閱
  • 漏洞掃描工具

如同許多其他網路資安領域一樣,AI機器學習 (ML) 近年來大幅提升了威脅管理的成效。除了幫忙分析大量的原始資料之外,AI 工具還能學習企業的正常活動模式,更快偵測異常狀況,而且準確度更高。如此一來,企業就能發掘日益複雜的攻擊,並大幅提升其威脅偵測及回應能力

不僅如此,隨著企業越來越仰賴雲端式 IT 服務與基礎架構,威脅管理策略也進一步演進,開始納入雲端式防護系統,如防火牆服務 (FWaaS),同時保護企業內及雲端環境的資料並管理威脅。

有效的威脅管理最佳實務原則

最有效的威脅管理策略通常會遵循幾項關鍵的最佳實務原則,包括:建立一套詳細而主動的威脅管理框架、定期的漏洞評估、建立威脅模型、持續的即時威脅追蹤,並且擬定嚴密的一系列事件回應計畫。

此外,確保網路資安團隊能持續接受訓練並定期更新也同樣不可少,如此才能協助他們隨時掌握最新威脅,並且應付各式各樣的攻擊。

最後,自動化的網路資安系統可在威脅管理上扮演關鍵的角色,讓企業更快且更有效率地偵測、分析及回應資安威脅與攻擊。

哪裡可以取得有關威脅管理的協助?

Trend Micro™ Threat Intelligence 憑著 35 年以上的全球威脅研究,能針對新興威脅、漏洞及入侵指標 (IoC) 提供深入的洞察。此外更擁有超過 2.5 億個感測器、450 多名全球專家的研究,以及業界最大的漏洞懸賞計畫 Trend Zero Day Initiative™ (ZDI),因而能提供無可匹敵的情報來支援主動式防護。

若再配合 Trend Vision One™ Security Operations (SecOps),您的企業就能藉由 XDR、SIEM 及 SOAR 的強大威力來主動偵測、調查及回應威脅。交叉關聯來自端點、伺服器、電子郵件、身分、行動裝置、資料、雲端工作負載、OT 以及網路的事件與全球威脅情報來源,整理出最高優先次序、可化為行動的警報,同時將複雜的回應動作自動化。

相關文章