網(wǎng)絡(luò)風(fēng)險就是商業(yè)風(fēng)險。企業(yè)正在數(shù)字化，政府正在制定政策，推動數(shù)字化和智慧城市項目。雖然這有助于公民和組織采用技術(shù)進步，但網(wǎng)絡(luò)攻擊的頻率和復(fù)雜性都在不斷增加，這對必須保護自己的數(shù)據(jù)和系統(tǒng)不受威脅者攻擊的組織構(gòu)成了重大挑戰(zhàn)。

大多數(shù)組織已經(jīng)將其IT安全管理任務(wù)外包給MSSP(托管的安全服務(wù)提供者)，很少有組織仍然保留其內(nèi)部SOC(安全操作中心)。這些組織通常只從安全設(shè)備監(jiān)視管理服務(wù)(如托管的防火墻服務(wù))開始，然后使用SIEM解決方案組件緩慢地添加安全事件監(jiān)視。日益增長的威脅形勢和雇傭具有所需專業(yè)知識的安全網(wǎng)絡(luò)安全專業(yè)人員的難度，使得組織更難理解對手使用的工具、技術(shù)和戰(zhàn)術(shù)。

網(wǎng)絡(luò)威脅信息共享的需要

最近，政府和組織對網(wǎng)絡(luò)威脅情報的需要有了更好的理解。NIST鼓勵組織間更多地共享網(wǎng)絡(luò)威脅信息。

在當(dāng)今的大型安全產(chǎn)品和服務(wù)行業(yè)中，防火墻、端點保護和托管安全服務(wù)(MSSP)等產(chǎn)品通過威脅情報功能得到了增強。威脅情報循環(huán)有關(guān)鍵步驟，如下圖所示。

Gartner認為，“威脅情報是基于證據(jù)的知識，包括背景、機制、指標(biāo)、含義以及針對現(xiàn)有或正在出現(xiàn)的威脅或資產(chǎn)風(fēng)險的行動建議。這一情報可以用來通知有關(guān)主體對這種威脅或危險的反應(yīng)的決定。”

為安全行動提供網(wǎng)絡(luò)威脅情報

通常，組織需要快速檢測威脅，并且不希望浪費時間調(diào)查假陰性警報，從而更快地修復(fù)漏洞和減輕攻擊向量。安全運營中心存在的典型問題有

我們的敏感信息泄露了嗎

在未來幾個月里，哪些威脅行動者可能會針對我的組織的能力

誰是我最大的敵人?他們是可信的嗎?

我可否在事件發(fā)生后的短時間內(nèi)得知他們的活動?他們經(jīng)常去哪些地下場所?已知誰與這些對手有關(guān)聯(lián)?

連接到此Internet協(xié)議(IP)地址是壞的嗎?誰擁有知識產(chǎn)權(quán)?這個IP地址連接到哪個internet服務(wù)提供商(ISP) ?這家公司還注冊了哪些IP地址?

這個URL危險嗎?誰注冊的域名?他們注冊了其他人嗎?如果是，是哪些?本網(wǎng)站提供哪些類型的威脅?是否有其他惡意活動鏈接到此URL?

我的環(huán)境中的哪些漏洞正在“野外”被積極地利用?誰是銷售或使用這些漏洞的威脅行動者?哪些惡意軟件和其他威脅正在利用這些漏洞?哪些類型的組織正受到這些威脅的攻擊?

這是“零日”攻擊的謠言是真的嗎?

壞人對我的組織和員工了解多少?他們是在銷售訪問我的系統(tǒng)還是我的知識產(chǎn)權(quán)?

如果網(wǎng)絡(luò)威脅情報信息源能夠提供上述問題的答案，它就能讓安全團隊更有效地應(yīng)對威脅。

在當(dāng)今的安全操作中心，利用網(wǎng)絡(luò)威脅情報進行安全遙測濃縮的用例

采用以用例為中心的觀點仍然是SOC開始網(wǎng)絡(luò)威脅情報之旅和改進整體安全計劃的理想和實用方法。一些用例/例子包括:

SIEM工具集成，用于維護帶有從現(xiàn)有SIEM流入的現(xiàn)有日志的威脅監(jiān)視列表。威脅情報數(shù)據(jù)重疊在現(xiàn)有日志之上，通過匹配折衷指標(biāo)(IOCs)來檢測威脅，例如IP地址、文件哈希和域名(例如:IBM XForce威脅情報、EclecticIQ的融合中心、Anomali)。

威脅情報是有利于國內(nèi)流離失所者(入侵檢測和保護)近年來,和許多客戶報告改進的檢測和阻斷功能的一系列威脅直接啟用IDP系統(tǒng)的情報訂閱(例子:趨勢科技的聲譽數(shù)字疫苗的TippingPoint國內(nèi)流離失所者,帕洛阿爾托網(wǎng)絡(luò)MindMeld)。

網(wǎng)絡(luò)釣魚是一種有害且普遍的威脅，仍然是獲取組織資源的有效途徑。威脅情報可以幫助識別網(wǎng)絡(luò)釣魚活動的元素，以加快檢測/響應(yīng)行動，并幫助采取主動措施，如預(yù)防/預(yù)測(例如:校對點、威脅連接)。

漏洞管理的優(yōu)先級已經(jīng)不再考慮漏洞的嚴重性。相反，首要任務(wù)是“你的哪些弱點在野外被利用了”。威脅情報使組織能夠確定哪些漏洞構(gòu)成了最大的風(fēng)險(例如:Kenna Security, Recorded Future)。

Surface、“Deep”和“Dark”網(wǎng)絡(luò)監(jiān)控客戶可以使用威脅情報服務(wù)提前獲得威脅警告，更好地了解威脅的工作原理和被發(fā)現(xiàn)的位置。這有助于他們執(zhí)行品牌監(jiān)控(例如:ZeroFOX、Kela靶向威脅情報、間諜云)。

市場上有許多網(wǎng)絡(luò)威脅情報服務(wù)提供商，而且這個數(shù)字似乎還在增長。并不是所有被宣傳為威脅情報的服務(wù)都提供這種類型的內(nèi)容，所以了解客戶想要解決的問題是很重要的。盡管目前市場上既有基于商業(yè)的高級服務(wù)，也有開源提要，但安全操作需要驗證解決方案，以幫助它們獲取、聚合和根據(jù)所需的威脅情報采取行動。

版權(quán)申明：圖文來源ISACA，我們對文中觀點保持中立，只以信息傳播為目的，文章版權(quán)歸原作者所有，如有侵權(quán)，請聯(lián)系我們刪除。