威胁情报(TI) -或网络威胁情报-是安全组织收集的有关其运营的潜在和迫在眉睫的威胁的信息. Ideally, 这应该是一个持续的信息馈送,通知这些威胁的自动优先级和随后的补救工作.
TI从业者应该把他们的责任看作是确保安全组织的每个部分有效地利用威胁数据作为其日常检测任务的一部分的努力, response, 全面的风险管理. 对于TI, 弗雷斯特最近指出 面对日益复杂的威胁环境,安全团队必须如何采用内部流程来管理威胁情报并保护业务.
随着威胁日益逼近全球各地各行各业, 威胁情报平台也可以成为增强主动性的有力工具. 当然,国防很重要. But, 威胁情报是指那些指向趋势的信息,这些趋势可能不一定是发生在某个国家门口的低档攻击 安全运营中心(SOC). 在这种情况下,SOC可以主动寻找并加强这些趋势线的安全性.
威胁情报平台非常重要,因为安全组织需要能够尽可能提前了解潜在的威胁,以便他们能够抵御威胁,并堵住威胁参与者可能试图利用的任何漏洞. TI也很重要,因为它可以成为一个重要的底线救世主. 你阻止的威胁越多,你为企业节省的钱就越多. 让我们来看看一些优势,强调一个坚实的TI计划的重要性:
近年来,可操作的威胁情报在从手工方法向自动化过程的转变方面取得了突飞猛进的发展,这样安全组织就可以实际使用它,而不是坐在堆积如山的未经分析的数据上等待攻击.
简单地说,每个人都受益于TI. 它可以使SOC的生活更轻松, 可以为整个业务节省资金吗, 增强客户对公司及其产品的信心。. 因为这一页是专门针对安全专家的, TI的主要受益者是分析师和安全机构内的人员, 因为它直接变缓 威胁检测和响应. 这些好处是什么??
将TI转化为可操作的信息并非易事. 需要一个框架来获取原始数据并将其转化为真正的智能. 但是,什么样的框架能够跟上不断变化的威胁形势? 让我们定义一个可适应现在和未来的TI生命周期.
使用pir可以帮助指导确定方向的方法. 该过程通常从概述特定的PIR开始,然后定义期望的结果.
哪些情报将最好地服务于您的团队所定义的方向? 取决于用例, 情报可以来自网络上的多个来源,也可以来自端点, 第三方供应商, the dark web、应用程序安全流程和平台等等. 从所有相关来源收集数据,以获得最恰当的见解.
在这个级别上,利用尽可能多的自动化分析是提高安全性的关键. SOC可以采用手动方法进行分析,而且不夸张地说,人工审查可以产生更多的见解, 这需要付出时间的代价. 如果威胁是自动分类的,那么它们更有可能被自动修复.
此生命周期的最终目标应该是获得有用的情报,在根据您的框架进行彻底分析之后,这些情报可以分发给安全设备,以自动防止即将发生的攻击或威胁.
因此,构建一个从正确来源获取情报的解决方案至关重要, 自动生成带有上下文信息的警报, 并通过自动修复 threat.
网络安全威胁情报直接影响业务. 潜在的威胁是否会被迅速消除,或者由于缺乏正确定义的生命周期,情报是否会被浪费?
Forrester将商业智能定义为“将原始数据转换为有意义和有用的信息以实现更高效的方法和过程” 战略, 战术, and 操作 有助于提高整体企业绩效的见解和决策." As it happens, those three areas of insight are the same for TI; let's dive deeper into each.
战略情报侧重于长期威胁及其影响. 战略信息技术还有助于评估攻击者——关注他们的战术和动机,而不是地理位置——以确定这些威胁对组织的潜在影响. 高层决策者通常会被告知这种类型的情报, 因此,保持报告尽可能清晰是很重要的.
作战情报侧重于可能需要立即缓解的短期威胁, 从而快速重新确定其他举措的优先顺序. 操作性信息透明还有助于评估谁是真正的目标,以及如何成为目标. 这有助于利益相关者确定任何即时的威胁响应行动.
战术情报主要关注攻击者的确切行为. 他们是否使用特定的方法或工具来获得访问权限或执行横向移动? 战术威胁情报工具由从事主动监测和报告的人员使用, 还需要发现不太明显的危险信号.
最好记住,对安全最好的就是对业务最好的.
用例多种多样,数量众多. 安全情报工具 对企业运营的安全性和完整性以及网络实力的任何类型的威胁是否有效.