网络风险就是商业风险。企业正在数字化,政府正在制定政策,推动数字化和智慧城市项目。虽然这有助于公民和组织采用技术进步,但网络攻击的频率和复杂性都在不断增加,这对必须保护自己的数据和系统不受威胁者攻击的组织构成了重大挑战。
大多数组织已经将其IT安全管理任务外包给MSSP(托管的安全服务提供者),很少有组织仍然保留其内部SOC(安全操作中心)。这些组织通常只从安全设备监视管理服务(如托管的防火墙服务)开始,然后使用SIEM解决方案组件缓慢地添加安全事件监视。日益增长的威胁形势和雇佣具有所需专业知识的安全网络安全专业人员的难度,使得组织更难理解对手使用的工具、技术和战术。
网络威胁信息共享的需要
最近,政府和组织对网络威胁情报的需要有了更好的理解。NIST鼓励组织间更多地共享网络威胁信息。
在当今的大型安全产品和服务行业中,防火墙、端点保护和托管安全服务(MSSP)等产品通过威胁情报功能得到了增强。威胁情报循环有关键步骤,如下图所示。
Gartner认为,“威胁情报是基于证据的知识,包括背景、机制、指标、含义以及针对现有或正在出现的威胁或资产风险的行动建议。这一情报可以用来通知有关主体对这种威胁或危险的反应的决定。”
为安全行动提供网络威胁情报
通常,组织需要快速检测威胁,并且不希望浪费时间调查假阴性警报,从而更快地修复漏洞和减轻攻击向量。安全运营中心存在的典型问题有
我们的敏感信息泄露了吗
在未来几个月里,哪些威胁行动者可能会针对我的组织的能力
谁是我最大的敌人?他们是可信的吗?
我可否在事件发生后的短时间内得知他们的活动?他们经常去哪些地下场所?已知谁与这些对手有关联?
连接到此Internet协议(IP)地址是坏的吗?谁拥有知识产权?这个IP地址连接到哪个internet服务提供商(ISP) ?这家公司还注册了哪些IP地址?
这个URL危险吗?谁注册的域名?他们注册了其他人吗?如果是,是哪些?本网站提供哪些类型的威胁?是否有其他恶意活动链接到此URL?
我的环境中的哪些漏洞正在“野外”被积极地利用?谁是销售或使用这些漏洞的威胁行动者?哪些恶意软件和其他威胁正在利用这些漏洞?哪些类型的组织正受到这些威胁的攻击?
这是“零日”攻击的谣言是真的吗?
坏人对我的组织和员工了解多少?他们是在销售访问我的系统还是我的知识产权?
如果网络威胁情报信息源能够提供上述问题的答案,它就能让安全团队更有效地应对威胁。
在当今的安全操作中心,利用网络威胁情报进行安全遥测浓缩的用例
采用以用例为中心的观点仍然是SOC开始网络威胁情报之旅和改进整体安全计划的理想和实用方法。一些用例/例子包括:
SIEM工具集成,用于维护带有从现有SIEM流入的现有日志的威胁监视列表。威胁情报数据重叠在现有日志之上,通过匹配折衷指标(IOCs)来检测威胁,例如IP地址、文件哈希和域名(例如:IBM XForce威胁情报、EclecticIQ的融合中心、Anomali)。
威胁情报是有利于国内流离失所者(入侵检测和保护)近年来,和许多客户报告改进的检测和阻断功能的一系列威胁直接启用IDP系统的情报订阅(例子:趋势科技的声誉数字疫苗的TippingPoint国内流离失所者,帕洛阿尔托网络MindMeld)。
网络钓鱼是一种有害且普遍的威胁,仍然是获取组织资源的有效途径。威胁情报可以帮助识别网络钓鱼活动的元素,以加快检测/响应行动,并帮助采取主动措施,如预防/预测(例如:校对点、威胁连接)。
漏洞管理的优先级已经不再考虑漏洞的严重性。相反,首要任务是“你的哪些弱点在野外被利用了”。威胁情报使组织能够确定哪些漏洞构成了最大的风险(例如:Kenna Security, Recorded Future)。
Surface、“Deep”和“Dark”网络监控客户可以使用威胁情报服务提前获得威胁警告,更好地了解威胁的工作原理和被发现的位置。这有助于他们执行品牌监控(例如:ZeroFOX、Kela靶向威胁情报、间谍云)。
市场上有许多网络威胁情报服务提供商,而且这个数字似乎还在增长。并不是所有被宣传为威胁情报的服务都提供这种类型的内容,所以了解客户想要解决的问题是很重要的。尽管目前市场上既有基于商业的高级服务,也有开源提要,但安全操作需要验证解决方案,以帮助它们获取、聚合和根据所需的威胁情报采取行动。
版权申明:图文来源ISACA,我们对文中观点保持中立,只以信息传播为目的,文章版权归原作者所有,如有侵权,请联系我们删除。