过去几年里,利用威胁情报的公司在保护他们的关键基础设施方面占有明显优势的事实已经十分明了了。公司企业正尽其所能地收集、分析和评估尽可能多的数据,不仅仅是他们目前面对的威胁数据,首席安全官和安全团队已被大量威胁数据吞没。
威胁情报可以包括各种各样的东西,诸如:入侵检测系统、入侵防御系统、安全托管服务和泄露指示器。
而公司通常使用来自这些方面的威胁情报:付费解决方案;可信合作伙伴;正规工业公司;政府和司法机构;开源及他们自身的分析和检测过程。
根据国际数据公司(IDC)的研究,2014年到2018年,全球威胁情报服务消费预期可从9.055亿美元增长到14亿美元。 公司企业正越来越多地将威胁情报反馈以一种标准化的方式(XML等)整合进他们的安全架构和安全信息与事件管理(SIEM)系统中。
威胁情报实现有多有用,又有多现实?
企业战略集团(ESG)的一份报告揭示,一些企业已经实施了安全情报项目,43%的受访者将他们的项目评级为“非常成熟”。然而,这些项目中有很多缺点,让仅仅部署威胁情报就能解决安全威胁的期待显得很不现实。
其中一些缺点如下所示:
1. IT并没有将威胁情报项目集成到企业合作、沟通和其他IT业务流中。因此,他们并没有使自己能够从供应链和垂直社区的知识中获益,或者能够知晓后端正在发生的事情以识别出跟他们的环境和上下文相关的数据。
2. 更多的关注点被投放到了消费而不是共享上。由于坏人们关注后者,公司企业需要促进威胁情报的共享以有效保护企业用户和基础设施。共享所有风险类型的威胁情报可以帮助减少漏洞并扼阻更大的威胁。
3. 在大多数企业里,威胁情报项目被人工流程拖了后腿。这些公司里的安全专业人士要花大量时间收集、处理和粘贴数据,还要将之转换成不同的格式——自动化了IT领域其他部分的工具在这里不怎么被信任。
4. 公司企业的威胁情报项目还缺乏可操作的意图。IT团队忽视了提供已引起注意的威胁指标的额外上下文,无论是来自另一个用户的还是来自情报反馈的。这一情况意味着信息没有得到扩展;因此,公司可能会错过做出更快和可选择的决策。想使威胁情报具有可操作性,公司企业应该实时接收它并将之与安全意识结合在一起。
5. 最后,安全团队看的都是原始的、未经过滤的信息形成的数据反馈。想形成可称之为情报的东西,他们需要让专业情报分析师分拣评估这些信息,以便能产生关于一个已存在或正在形成的威胁的可行性建议。过去的、现在的和未来的指标,经过人工分析,可以产生丰富的上下文信息。
由此,威胁情报目前多少有几分不成熟,公司企业考虑潜在利益时没有认识到能使项目起效的基本原则的力量。这种态势下,过滤掉不相干的数据而获得对真实威胁的准确预测性洞察可能是一件耗时耗力的事。
有效的威胁情报要求分析师能根据他们各自组织运营的具体环境准确识别出真实威胁。将威胁与所处环境联系起来将定义出整个威胁景象,然后分析师就能评估数据反馈和来源(内部还是外部)以确定哪些指标值得关注。
而且,首席安全官和IT部门需要修改现有解决方案,或者部署新的解决方案,以从收集到的来源中洞悉威胁动向并开展后续威胁攻击方式的调查。虽然内部情报管理通常是可行的,还是可以引入第三方来加速数据清洗和夯实解决方案,这样企业就能专注于防止攻击而不是花时间在鉴别与他们的威胁态势相关的数据和指标上了。
有效威胁情报的另一个重要方面是共享。大多数公司企业只是浅尝辄止地跟风共享——立即分享一些情报而不是持续分享部分情报,这就限制了他们最小化潜在破坏影响的潜力。举例来说,放到IT经理案头而不传送到专管时间敏感的网络安全决策制定者那里的情报就是无效的。
共享的目标应该是在各种机构部门间接收和传播信息。公司企业可以利用产业联盟验证威胁发现,利用自动化过程触发企业内部和企业与政府和司法机构间的即时互动。
能为反馈增加洞察力的来源越多,威胁情报就越有用。拥抱各种先进理念也不失为一个好主意,比如开放安全联盟,以及与威胁情报共享门户网站/初创公司合作精简管理流程。除了以上谈到的这些,像是《网络可观察对象表达规范》(CybOX)和《可信自动化指标信息交换标准》之类的工业标准也应该纳入考虑范围。
一个好的威胁情报实现应该是怎样的?
为了打破樊篱让威胁情报在整个公司企业内运转流畅,IT部门需要采用健壮的方法来收集、分析、处理情报,并将之转换成通用语言以便共享。模式可以各种各样,以下几个组件则是在部署威胁情报项目发展情报能力中普遍适用的。
1. 设置情报规程
无论你的威胁情报目标是什么,这一点都是最基础的。威胁的复杂本质要求公司企业在事件发生之前就设置好规程以便在压力状态下能够指导运作。
统一的、开源的、优质的反馈应该依据公司的目标进行衡量以评估它们的投资回报率。成熟的公司企业还需要过滤数据以抽取相关指标再在多个系统中交叉参照。
2. 在分析框架之上勾勒威胁轮廓
对手的作案手法是什么?鉴于你公司所处的行业和安全架构,你将发展出能被用于识别出恶意模式和考虑对手思路的框架。一份威胁概要可以从下面几个方面呈现:
威胁执行人:关于可以攻击你公司的人,你了解多少?对这一问题的答案将驱动后续分析进程。
受害者:是什么让你的企业成为数据泄露和黑客攻击的潜在目标?你比你的同行企业更容易受到攻击吗?
· 数据重要性:你想防护的数据资产的感知风险是什么?他们目前的防护状况是怎样的?
· 地点和时间:数据资产存储在哪里?你是怎样保护它们的?它们是只以虚拟形式还是同时以物理形式存储的?这些资产在某些特定时段更容易被入侵吗(比如周末)?
威胁概要将推动处理效率并让IT部门能够实时将情报反馈导引至多个部门。
3. 选择合适的技术
既然威胁概要已被确定为最适合你公司需要的东西,你便可以推进到下一步——选择合适的技术以在你的数据和网络环境中利用威胁情报上来了。
可用的解决方案很多,有些有他们自己内置的服务、反馈和数据库。最终选择应该结合你的安全基础设施和安全信息与事件管理(SIEM)系统来做出,无论关注重点是放在保护云、大数据,还是移动系统上。
4. 将威胁情报的使用集成到你的核心流程中
一个好的实现要求威胁情报能够在无干扰的情况下告知核心业务决策。然而,企业往往不遵循这一方式,也就是说,他们可能对会影响到关键业务决策的威胁没有一个全景的视野。
他们需要做的,是将威胁情报技术与常规决策结合起来,促进动态资源决策。对更大的转型业务案例而言,高级和执法监管也是十分重要的。
5. 自动化威胁情报共享
威胁共享如果离了能自动化这一过程的技术将毫无有效性可言。有几个威胁情报交换平台促进自动化,企业自身应将精力放在发展与这些威胁情报交换相关联的流程上以更为全面地了解威胁态势。
然而,你也需要一些规则来标准化威胁情报共享的传输和表达。拥有这些规则可以使共享过程毫无障碍地自动化,即使依赖的是不同工具的时候也是如此。
结论:
有效实现威胁情报需要大范围评估你的安全立场。因为它要求对网络和设备数据流的无缝访问,公司企业需要打破他们的反应墙以创建外部和内部的效率,并充分利用好这一资源。
