IBM威脅情資平台 在駭客上門前 先一步強化安全

IBM X-Force Exchange首席架構師 Ron Williams 分享IBM X-Force Exchange雲端威脅情報平台，如何取用、共用威脅情報，並讓企業資安分析師據此採取行動

進階持續威脅攻擊(APT)令人聞之色變，當同業遭受APT攻擊，身為資安人員最想得知的就是入侵指標(Indicators of Compromise；IoC)，能據以阻擋攻擊來源以及修補內部資安漏洞。但光是得知入侵指標還不夠，結合對駭客集團攻擊工具與手法的分析得到更完整詳細的威脅情資，並明白該立即採取何種因應之道，才能徹底根除威脅來防範下一個受害者的出現。

對資安分析師來說，去外部訂閱各種威脅情資來源(feeds)如最新弱點、惡意程式等，再加以分析研究並強化內部網路安全是例行性的日常工作。根據研究機構ESG的調查，65%企業會訂閱外部威脅情資來源來協助進行安全決策。平均訂閱4、5種情資來源是常態，也有些企業安全分析師訂閱多達10幾種。

然而這些情資來源有些來自於開源碼社群所貢獻，資安分析師可能無法在大數據中辨識出有用的資訊，或是當情資來源之間的訊息有衝突時，該選擇信任哪一方的資訊？再加上如果沒有系統性的統整相關資訊，要手動將相關資訊歸納分析可能都要花上數小時，遑論分析以及採取補強動作。

自動化威脅情資平台提供聯合防禦自動化

IBM X-Force Exchange能夠加以分析。各項指標得到具場景脈絡的高階威脅情資，並立刻建議因應行動，包括將情資傳送到IBM安全免疫系統中樞QRadar或透過業界開放標準的格式將情資整合到其他第三方資安設備。

IBM X-Force Exchange首席架構師Ron Williams指出，高階威脅情資對企業十分重要，透過瞭解攻擊者的意圖，像是是無差別攻擊或是目標式攻擊，有助於協助企業經營者作出關鍵的決策，畢竟在遭受攻擊的當下，每多1分鐘都會把企業暴露在更高的風險下。