解惑|威脅情報指南

責(zé)任編輯:editor005

作者:nana

2016-09-20 15:34:37

摘自:安全牛

雖然網(wǎng)絡(luò)世界里有些人覺得威脅情報是新晉流行詞,其實情報在我們身邊已經(jīng)很久了。網(wǎng)絡(luò)威脅情報(CTI)也是同樣的概念——理解行為人、威脅、態(tài)勢、風(fēng)險,以及所有這些元素之間的相互聯(lián)系,只不過,限定在網(wǎng)絡(luò)世界而已。

雖然網(wǎng)絡(luò)世界里有些人覺得威脅情報是新晉流行詞,其實情報在我們身邊已經(jīng)很久了。政府早已利用情報在外交上、戰(zhàn)場上、對抗恐怖主義上占據(jù)優(yōu)勢。公司為獲得競爭優(yōu)勢,攫取市場、銷售和財務(wù)商業(yè)信息,也紛紛應(yīng)用情報戰(zhàn)術(shù)。情報的概念行之有效,久經(jīng)考驗。

網(wǎng)絡(luò)威脅情報(CTI)也是同樣的概念——理解行為人、威脅、態(tài)勢、風(fēng)險,以及所有這些元素之間的相互聯(lián)系,只不過,限定在網(wǎng)絡(luò)世界而已。對收到、執(zhí)行或計劃執(zhí)行的威脅情報設(shè)立適宜的期待,有助于抽取威脅情報的完全價值,避免掉進常見陷阱。在威脅情報是什么,不是什么,以及為誰服務(wù)上,有幾條指南謹供參考。

信息不是情報

信息當(dāng)然是情報過程的一部分,但情報和信息是完全不同的。“信息”的例子可見攻擊指標(IOC),但IOC本身并不是情報。它可能給情報添加一些細節(jié),但IOC必須被研究、分析,放到上下文環(huán)境和公司場景中。威脅情報遠不止一條或一組威脅指標,它需要對惡意分子的意圖、機會和能力信息進行評估和分析的間諜情報技術(shù)。想從信息升級到情報,你必須:計劃、收集、處理、產(chǎn)生和擴散經(jīng)分析的信息。這些信息必須特定針對公司以確保其價值和重要性。

情報包含假設(shè)和推斷,但千萬別假定你的設(shè)想是完全的。威脅情報不是一門確定的科學(xué),它很黏糊。好的情報能極大促進安全成果,壞的情報則能把你帶進溝里。所以,盡管通常涉及一定程度的假設(shè),也是要可靠的信息、經(jīng)驗和智慧才能做出良好的判斷。情報分析通常是基于不完美/不完整的數(shù)據(jù)集做出的。置信度評估(比如:高、中、低)是添加上下文的良好方式,支持這些評估的額外研究則可增加分量。

情報給你的,應(yīng)不止是故事。你的網(wǎng)絡(luò)故事當(dāng)然是重要一環(huán),但好的情報應(yīng)該提供結(jié)論。故事結(jié)局如何?基于對威脅的分析、環(huán)境、風(fēng)險層級、影響等等,有哪些推薦的緩解措施供公司改善局面?哪些資產(chǎn)面臨的風(fēng)險更大?網(wǎng)絡(luò)防御工作重心在哪兒?達成結(jié)論的分析中,證據(jù)和邏輯必須是重要部分。而且要記住:有時候故事也在發(fā)展。信息總在更新,所以,當(dāng)有新東西出現(xiàn)時,保持緊跟風(fēng)潮,確定這些東西是否會改變或擴充故事,就顯得特別重要了。

沒有實時威脅情報這種東西

實時威脅情報不過就是些數(shù)據(jù)。威脅情報需要研究和分析。但是,速度確實非常重要,而自動化也在全面情報收集和處理過程中扮演著重要角色,但分析始終需要人類的專門知識。而這,需要一定的時間。任何實時的東西,不過是更多的數(shù)據(jù),而不是情報。

情報不是平臺、工具或反饋,它是種能力

平臺、工具或反饋,是交付情報的方式,但創(chuàng)建情報需要人、過程和技術(shù)這三駕馬車的緊密結(jié)合。情報交付當(dāng)然很重要,因為不同的用戶有著不同的消費需求,但情報是人(研究、解釋、分析、交付和消費最終情報的分析師、風(fēng)險官和部門運維人員),過程(情報是怎么被收集、處理、分析、交付和消費的),以及技術(shù)(用來收集數(shù)據(jù)、自動化分類和一定程度的分析、可視化數(shù)據(jù)趨勢等等)的組合。

情報應(yīng)該有深度,但又簡明。就算達成結(jié)論的過程數(shù)據(jù)豐富證據(jù)充實,一份情報報告也不應(yīng)該讓讀者翻了一頁又一頁還是陷在背景知識里出不來。報告不應(yīng)該是在顯示你懂得多少,而應(yīng)該更多地關(guān)注情報消費者需要知道的東西,幫助他們采取合適的動作,最終將安全態(tài)勢變得更好。簡單說,情報應(yīng)能被及時使用,又能提供所需的支持和深度。

情報應(yīng)包含公司特征、內(nèi)部數(shù)據(jù)和對公司外部事件的理解。只利用內(nèi)部或外部威脅情報,也就只能照亮威脅迷宮的一個角落而已。要有能力對比/關(guān)聯(lián)內(nèi)部和外部情報,為公司描繪出準確的風(fēng)險視圖。

威脅情報為誰服務(wù)?

最后需要考慮的,是情報消費問題。不僅僅是實際的防御人員需要威脅情報。不同類型的情報都具有價值,支持不同的用例。傳統(tǒng)上,出于非常策略性的原因,威脅情報只在安全運維中心(SOC)內(nèi)部使用。但是,從更廣泛的風(fēng)險管理角度,情報也有助于連接公司各節(jié)點。

對網(wǎng)絡(luò)安全人員——戰(zhàn)術(shù)威脅情報(低級技術(shù)指標)用于印證進入SOC的事件。防御者可使用低級CTI阻止惡意活動襲擊網(wǎng)絡(luò),或者支持檢測和響應(yīng)任務(wù)。對威脅情報分析師——作戰(zhàn)情報更關(guān)注對手。分析師審查并分析收集來的對手及其技術(shù)、戰(zhàn)術(shù)和規(guī)程(TTP)信息,將其行動、能力、機會和意圖與公司操作環(huán)境聯(lián)系在一起。對公司管理者——戰(zhàn)略威脅情報是綜合關(guān)聯(lián)分析網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)風(fēng)險和商業(yè)風(fēng)險的落腳點,可幫助高管和董事會看清可能對公司造成金融、運營和信譽影響的網(wǎng)絡(luò)風(fēng)險。這一層級的情報可用于驅(qū)動更睿智的安全投資,得出更具風(fēng)險前瞻的決策。

再強調(diào)一遍,網(wǎng)絡(luò)威脅情報不僅僅是公司的另一套工具或防護層。它是一種能力,可以驅(qū)動更有效網(wǎng)絡(luò)安全決策和更多投資,能幫助公司多個領(lǐng)域減小風(fēng)險。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號