威胁情报是目前信息安全领域最热门的术语之一。但是,正如许多流行语一样,它经常被滥用和滥用。所有的嗡嗡声都造成了很多混乱。
其中大部分源于威胁数据(即威胁信息)是威胁情报的说法,当它只是一个难题时。当数据通过威胁上下文进行丰富时,威胁数据将成为威胁情报,从而生成相关的可操作信息,使组织能够更好地调整其安全性和业务目标。
威胁数据是恶意域,IP地址或哈希值的原始集合,不提供任何攻击或威胁上下文。
虽然威胁数据确实具有其用例,但其优势在没有上下文的情况下受到限制,以允许安全团队做出明智的决策。为了正确利用威胁情报,组织必须通过将其引入其安全计划,清楚地了解其寻求实现的目标。没有它,威胁情报程序可能会成为资源的昂贵消耗,并且几乎没有实际价值。
数据质量
虽然数据馈送对于威胁情报程序至关重要:并非所有来源都是平等的。
虽然有许多威胁情报来源,但最常见的来源是:恶意软件处理,扫描/爬行,蜜罐,人工智能和内部遥测。威胁情报通常作为开源,免费资源或付费订阅提供。
为了从这些数据源中获得最大收益,组织需要很好地理解其源的来源,以便他们可以评估与其内部智能相关的数据。
最好的Feed会近乎实时地更新和转发。消化旧的或不完整的数据可能导致组织关注错误的目标,这可能导致数据过载和警报疲劳。在云计算时代尤其如此,IP地址可以每天多次发布和重复使用。
数据丰富
成功的威胁情报计划的关键是对每个数据馈送进行适当的分析 - 获得进行操作变更和保护环境所需的上下文。
如果没有仔细的规划和执行,将威胁情报纳入现有的安全计划可能会导致令人失望的结果。例如,一家采用FS-ISAC(金融服务部门)威胁情报的制造公司将不太可能实现其预期的结果; 因为这种特殊的情报来源将具有金融服务背景,而不是专注于与其行业相关的威胁。
安全情报和业务目标
成功的基础是确保威胁情报计划与业务目标保持一致。执行此操作的最佳方法是评估特定数据馈送如何解决与特定业务操作相关的安全问题。
通常,当事件发生时,对其范围或严重程度知之甚少。知识通常仅限于单个警报或指示器,必须通过适当的背景和智能来丰富,以便从第一个事件中转移并确定潜在事件的全部范围。这种模糊性是最先进的攻击的典型特征,它隐藏在复杂的编码或恶意软件背后。安全团队必须对每个事件进行分类和评估,以确定其准确性和严重性,以确定是否需要更多关注(调查)。
在这两个阶段中,安全运营团队通常依靠威胁情报来确定事件的可能范围及其可能造成的损害。例如,有关文件的警报可能只包含一个哈希指示符。手动分析可能会发现其他指标,但这种分析非常耗时。
正确使用自动化
更好的方法是部署自动威胁情报增强系统。
虽然分析人员可能需要几分钟甚至几小时才能从恶意软件分析转向整个网络中的指标,但自动化方法可以在几秒钟内完成相同的工作。自动化威胁情报丰富可用于实现既快速又高效的可预测且可重复的流程。这种方法还使分析人员免于收集和验证数据的繁琐且容易出错的任务,从而将其释放出来用于增值分析和威胁搜寻。
威胁情报的目标是使用数据来提高安全性并提供更高的可见性,因此安全人员可以根据他们对业务带来的风险确定补救措施的优先级。
选择“正确”的数据源是第一步,但设置机制和工作流程来挖掘它,丰富它并将其转化为可操作的智能更为重要。
