威胁情报是评估一家企业当前风险状况的重要手段。一位资深安全大佬将向我们揭示建立一项成功威胁情报项目的四大必要前提。
无论处于何等规模,企业正纷纷转变战术以应对信息安全领域出现的诸多挑战。与其将辛苦赚来的利润投入到试图涵盖所有基础设施这项几乎不可能实现的安全保护任务当中,企业管理者开始根据风险评估结论了解更为确切的信息安全状况,并就此建立更具针对性的防御政策。
这种趋势早在2012年开始就已经出现,当时美国国家标准与技术研究院(简称NIST)发布了一份现行风险评估指南(PDF格式,在E安全微信公众号回复 SP800 即可下载)。这份论文开篇第一句话就是“风险评估是有效风险管理工作中的关键性组成部分,而风险管理结构中的三大决策制定依据层分别为组织层、任务/业务流程层以及信息系统层。”
根据这份指南的观点,风险评估的目标在于帮助决策制定者了解当前状况,同时支持他们针对以下情况做出反应:
与组织相关之安全威胁;
安全漏洞,包括来自内部与外部之漏洞;
发生安全事故之可能性;
成功攻击活动给组织带来之影响。
安全威胁无处不在
NIST发布的这份指南中超过600次提到“威胁”这个词汇。文章作者对此的重视可谓显而易见,而相信大家也都能明白为什么威胁有必要获得如此关注。威胁这种东西绝对不是NIST或者企业数字资产管理者们所能一手掌握或者控制的。Recorded Future公司威胁情报副总裁Levi Gundert对此有着极为深刻的理解。
在他撰写的论文《着眼于小处,失误于小处:建立一套世界级威胁情报体系》(PDF格式,在E安全微信公众号回复 ASMS 即可下载)当中,Gundert提到“威胁情报作为一项实践手段,目前对于大多数企业而言仍是个难以捉摸的概念。成功的威胁情报项目能够识别并量化实际商业目标,包括降低运营风险并通过市场差异巩固自身竞争优势。”
换句话来说,了解威胁在哪里、是什么、何时出现以及如何生效已经成为一项极为重要的任务。
着眼于小处,失误于小处
作为前美国特勤局特工,Gundert被分配到洛杉矶电子犯罪特遣部队后前往靶场进行射击练习,而他的射击成绩低于其他成员的平均水平。指导员提醒Gundert把靶子翻个面,将没有绘制图案的一面朝向自己,重新尝试一轮射击。Gundert依样照做,对着面前飘过的一张张白纸扣动了扳机
“我根本不相信自己能打中靶子,带着这样的心情我翻过了靶面,结果让我惊讶得张大了嘴巴,”Gundert写道。“子弹几乎全部穿过了靶心位置……我看着指导员,难以相信自己看到的这一切。”
指导员回应称,“这就是所谓’着眼于小处,失误于小处’。”
“着眼于小处,就会失误于小处”,Gundert将同样的理论引入到威胁情报这项需要处理数量庞大之数据对象的工作当中。他解释称,“真正成功的威胁情报方案绝不能单纯追求特定业务目标,这会令我们错失更为可观的工作诉求,转而单纯追求某项极具挑战性的细节目标。”
成功威胁情报项目中的必要组成部分
Gundert认为,一个成功的威胁情报项目需要同时包含运营与战略两类组成部分。其中运营组成部分应该包括以下几项:
事故鉴定:这一组成部分主要针对来自各类可靠来源的外部攻击数据的处理工作。GUNDERT提到,将自动化机制引入这一流程能够确保外部攻击与内部事故能够被第一时间得到处理并总结为参考信息。
防御控制:这一组成部分能够有效预防或者缓解攻击影响。GUNDERT同时补充称,这类组成部分必须能够随时反映最新数据。
接下来,Gundert还介绍了各战略组成部分,其中涉及如何对将给企业及其资产带来当前与未来威胁的专业分析结论。战略组成部分应该包括以下几项:
建立关系:与信息、共享与分析中心(简称ISAC)等可信社区进行攻击信息交换,这将为我们引入积极因素,帮助企业通过其它组织机构的安全经历当中受益。
专有信息来源:除了使用其它来源提供的威胁情报,内部数据收集与整理能力是另一项极为重要的企业数据储备来源,同时也能够对供应商提供的数据进行验证。GUNDERT补充称,“举例来说,建立一套WEB流程以分析前5000个日报型网页内容中的代码,这能够帮助我们尽早掌握各类攻击行为的动向。”
恶意活动归属:了解攻击活动背后的动机所在,并通过具体方法考量其具体原因,这一点不仅对于当前正在发生的攻击非常重要,同时也能够帮助高层管理人员从中整理出详尽的背景信息。
超级识别:追踪攻击倾向以帮助安全人员洞察未来威胁,并以此为基础促进防御规划。
安全意识:针对员工的培训工作至关重要。GUNDERT提到,“教育是一项耗费时间但极具战略意义的工作,一旦被融入体系流程,其将发挥巨大的直接价值。”
内部监管:企业需要对内部人员的行为加以监控,同时着眼于那些尚未被检测到、但却切实徘徊在企业边界的攻击活动。
攻击者工具与架构建议:识别与攻击活动相关的工具、技术与程序(简称TTP),GUNDERT将此称为对手的“瓶颈“所在,这将使得IT部门以主动方式建立起有针对性的解决方案。
总结
Gundert针对建立世界级威胁情报项目的给出了以下四项基本原则:
了解企业及其战略资产;
识别相关敌人及其TTP(即工具、技术与程序);
与各大型安全组织建立合作关系;
建立相关防御安全控制机制,从而提高知名度、降低风险并提升运营收益。
除了以上几条之外,Gundert还建议称,“威胁情报项目的成功是否与业务目标、建设进程以及相关人员对业务目标的理解程度息息相关。”
