威脅情報是目前信息安全領域最熱門的術語之一。但是,正如許多流行語一樣,它經常被濫用和濫用。所有的嗡嗡聲都造成了很多混亂。
其中大部分源于威脅數據(即威脅信息)是威脅情報的說法,當它只是一個難題時。當數據通過威脅上下文進行豐富時,威脅數據將成為威脅情報,從而生成相關的可操作信息,使組織能夠更好地調整其安全性和業務目標。
威脅數據是惡意域,IP地址或哈希值的原始集合,不提供任何攻擊或威脅上下文。
雖然威脅數據確實具有其用例,但其優勢在沒有上下文的情況下受到限制,以允許安全團隊做出明智的決策。為了正確利用威脅情報,組織必須通過將其引入其安全計劃,清楚地了解其尋求實現的目標。沒有它,威脅情報程序可能會成為資源的昂貴消耗,并且幾乎沒有實際價值。
數據質量
雖然數據饋送對于威脅情報程序至關重要:并非所有來源都是平等的。
雖然有許多威脅情報來源,但最常見的來源是:惡意軟件處理,掃描/爬行,蜜罐,人工智能和內部遙測。威脅情報通常作為開源,免費資源或付費訂閱提供。
為了從這些數據源中獲得最大收益,組織需要很好地理解其源的來源,以便他們可以評估與其內部智能相關的數據。
最好的Feed會近乎實時地更新和轉發。消化舊的或不完整的數據可能導致組織關注錯誤的目標,這可能導致數據過載和警報疲勞。在云計算時代尤其如此,IP地址可以每天多次發布和重復使用。
數據豐富
成功的威脅情報計劃的關鍵是對每個數據饋送進行適當的分析 - 獲得進行操作變更和保護環境所需的上下文。
如果沒有仔細的規劃和執行,將威脅情報納入現有的安全計劃可能會導致令人失望的結果。例如,一家采用FS-ISAC(金融服務部門)威脅情報的制造公司將不太可能實現其預期的結果; 因為這種特殊的情報來源將具有金融服務背景,而不是專注于與其行業相關的威脅。
安全情報和業務目標
成功的基礎是確保威脅情報計劃與業務目標保持一致。執行此操作的最佳方法是評估特定數據饋送如何解決與特定業務操作相關的安全問題。
通常,當事件發生時,對其范圍或嚴重程度知之甚少。知識通常僅限于單個警報或指示器,必須通過適當的背景和智能來豐富,以便從第一個事件中轉移并確定潛在事件的全部范圍。這種模糊性是最先進的攻擊的典型特征,它隱藏在復雜的編碼或惡意軟件背后。安全團隊必須對每個事件進行分類和評估,以確定其準確性和嚴重性,以確定是否需要更多關注(調查)。
在這兩個階段中,安全運營團隊通常依靠威脅情報來確定事件的可能范圍及其可能造成的損害。例如,有關文件的警報可能只包含一個哈希指示符。手動分析可能會發現其他指標,但這種分析非常耗時。
正確使用自動化
更好的方法是部署自動威脅情報增強系統。
雖然分析人員可能需要幾分鐘甚至幾小時才能從惡意軟件分析轉向整個網絡中的指標,但自動化方法可以在幾秒鐘內完成相同的工作。自動化威脅情報豐富可用于實現既快速又高效的可預測且可重復的流程。這種方法還使分析人員免于收集和驗證數據的繁瑣且容易出錯的任務,從而將其釋放出來用于增值分析和威脅搜尋。
威脅情報的目標是使用數據來提高安全性并提供更高的可見性,因此安全人員可以根據他們對業務帶來的風險確定補救措施的優先級。
選擇“正確”的數據源是第一步,但設置機制和工作流程來挖掘它,豐富它并將其轉化為可操作的智能更為重要。
