在本文中,專家Ed Tittel探討了評估威脅情報服務的關鍵標準,以幫助企業(yè)選擇滿足其需求的最佳服務。
在企業(yè)確定威脅情報服務候選產品名單后,下一步工作是選擇最滿足其需求的服務。由于威脅情報服務市場仍然相對較新,詳細對比服務細節(jié)來了解服務提供的內容是一個挑戰(zhàn)。
例如,有些服務可能有三種水平的標準文件格式數(shù)據(jù)源,可用于不同制造商的各種安全設備,而另一種威脅情報服務則提供構建在其他服務之上不同層次的服務—基礎服務是數(shù)據(jù)服務訂閱,也需要使用專有安全設備。同時,還有一種類型的服務提供標準格式的數(shù)據(jù),并有機會加入可信的威脅情報客戶社區(qū),在那里分享情報、經驗和見解,而沒有公開泄露安全漏洞或損害其在現(xiàn)有或潛在客戶間聲譽的風險。
同時,無論服務提供商方面在何種程度提供分析、過濾和一般清理服務,企業(yè)還是需要自己花時間和一定的技能來處理威脅情報。大多數(shù)威脅情報服務都是基于這樣的假設,即客戶至少有一名安全人員負責規(guī)劃和部署主動安全措施。事實上,很多企業(yè)客戶有安全運營中心。這種技能要求阻礙著大多數(shù)小型企業(yè)和很多中型企業(yè)的部署,因為他們沒有這樣的人力資源投入到這樣的工作。
但是,高知名度的小型企業(yè)(可能因其政治或社會觀點而受到關注)可能需要尋求預算來購買威脅情報服務?,F(xiàn)在,攻擊的數(shù)量和復雜度仍在不斷上升,并且,與較大型企業(yè)相比,小型企業(yè)更容易受到攻擊,因為幾乎所有公司都有吸引犯罪社區(qū)的寶貴信息。
威脅情報服務的評估標準
Forrester首席分析師Rick Holland建議,在評估服務之前,企業(yè)應完全明白自己的使命和業(yè)務要求,以及情報要求。然后,在評估潛在供應商時,確定每個供應商的情報要求是否符合企業(yè)的要求。
下面是研究和對比威脅情報服務時需要考慮的關鍵評估因素:
數(shù)據(jù)流
因為數(shù)據(jù)流是服務提供商提供的主要產品,企業(yè)應盡可能多地了解每個供應商的數(shù)據(jù)流特征和數(shù)據(jù)來源:
· 多少數(shù)據(jù)流是可用的,以及它們的側重點是什么?數(shù)據(jù)流可能涵蓋IP/域URL、聲譽、安全風險、漏洞等。
· 服務提供商使用什么平臺來處理數(shù)據(jù)?
· 數(shù)據(jù)流的文件格式是什么?格式通常是CSV、XML和類似標準格式。有些服務提供商提供應用編程接口,讓客戶可以通過網(wǎng)絡服務拉取數(shù)據(jù)服務。
· 企業(yè)可以從多少不同的數(shù)據(jù)源獲取數(shù)據(jù)?
· 哪些數(shù)據(jù)源?在客戶要求下,大多數(shù)供應商愿意披露他們的威脅情報數(shù)據(jù)來源,有些供應商不能或者不會這樣做,因為這是機密信息。
設備
哪些設備可以接收這些數(shù)據(jù)流?例如,很多企業(yè)已經投資于安全和信息事件管理和/或入侵防御系統(tǒng)設備。企業(yè)應確定這些數(shù)據(jù)流是否可用于現(xiàn)有設備--這可以幫助降低成本,或者服務提供商的服務是否綁定到其自己的設備。
警報和報告
服務提供商是否提供實時警報作為基礎服務或最低水平訂閱服務的部分,或者該功能需要更高價格的訂閱?報告或總結發(fā)布的頻率如何?是否是針對專門行業(yè)?
報告對安全人員非常有用,特別是當它們針對企業(yè)的行業(yè),并包含相關惡意軟件、新興威脅、威脅執(zhí)行者及其動機等信息時。報告總結應該包含在發(fā)送給高管的狀態(tài)更新中,以及安全意識培訓中,讓每個人都獲取這些信息。
價格
通常情況下,客戶購買威脅情報來訂閱一個或多個數(shù)據(jù)流—一年、兩年和三年增量。服務提供商可能基于用戶數(shù)量提供分級定價,并隨著購買數(shù)量的增加提供優(yōu)惠折扣。
例如,服務提供商可能提供相同的數(shù)據(jù)流,而基于用戶數(shù)量提供不同定價,例如1到2500名用戶、2501到10000名用戶等。每個提供商的數(shù)據(jù)流訂閱價格各不相同,但都在每月1500到10000的范圍內,這取決于訂閱的數(shù)據(jù)流數(shù)量。
有些服務需要客戶在訂閱威脅情報數(shù)據(jù)流時購買他們的安全設備,這可能給總成本增加數(shù)千美元。還有些威脅情報服務需要客戶訂閱兩種不同服務來獲取完整信息,這類似于企業(yè)運行主要防病毒/反間諜軟件套件,偶爾使用第二個產品或服務掃描系統(tǒng)。
服務提供商的支持水平
在威脅情報行業(yè)服務提供商的支持很像人壽保險,你永遠不想使用它,但這非常重要。技術支持不僅可以解決如何整合數(shù)據(jù)流到安全設備以及各指標的意思等問題,還應該可以輔助事故響應、打擊惡意網(wǎng)站等。
在比較威脅情報服務時,企業(yè)應研究以下問題的答案:
· 提供商是否提供全年全天候電話聯(lián)系其支持工程師?
· 提供商聲稱其響應電話呼叫的速度如何?30分鐘內?還是更長時間?
· 升級支持成本多少,這可能包括更快的響應時間或隨時聯(lián)系3級工程師?
· 如果客戶需要事故響應援助,該服務的成本和條款是什么?
· 多少員工可以聯(lián)系技術支持獲得援助?有些供應商提供支持計劃,其中多名員工可以聯(lián)系技術支持。
· 是否提供培訓?這涵蓋在訂閱費用中還是單獨收費?
研究威脅情報服務的技巧
LinkedIn以及其他高科技和社交媒體公司都有威脅情報組或論壇來共享關于零日攻擊和其他高級攻擊的情報。這些討論通常會附有對具體服務提供商的簡要評論和看法,并且,“我的經驗分享”評論中往往包含有見解的心得,可幫助企業(yè)選擇正確的服務。
很多威脅情報服務(例如FireEye和LogRhythm)在其網(wǎng)站提供最新最好的信息。另一個很好的信息源是Gartner Blog Network,在那里很多作者會探討威脅情報以及一般安全問題。同時,企業(yè)還可以關注Cyber Threat Intelligence Integration Center(網(wǎng)絡威脅情報整合中心),這個情報機構還在構建中,旨在提供“綜合所有來源的情報分析”。
總結
因為威脅情報服務是很大的開支,企業(yè)需要充分研究這些服務,例如通過瀏覽每個服務提供商網(wǎng)站的數(shù)據(jù)表以及咨詢銷售人員(他們通常擁有對其產品以及行業(yè)的豐富知識)。在確定候選產品短名單后,IT決策者將能夠權衡每個威脅情報供應商的幫助和關懷,這將是企業(yè)選擇最佳威脅情報提供商的另一個標準。