美国SANS研究院联合绿盟科技联合发布报告《威胁情报的定义及使用》,旨在帮助决策者判断组织是否已做好准备将威胁情报融入其安全项目。报告认为让威胁情报具有可操作性可以从三个方面入手:
- 将威胁情报与组织的安全状况相结合
- 利用威胁情报促进调查与响应
- 利用威胁情报展望未来安全形势
企业高管越来越倾向将威胁情报视为一款重要工具。根据2016 年SANS 网络威胁情报调查,只有6% 的受访者反映还没有启动威胁情报项目,而40% 的受访者认为本单位威胁情报项目趋于成熟。让人担忧的是,27% 的受访者承认其威胁情报项目刚刚启动或仍处于不成熟状态。
在当今的网络社会,决策者对安全投资的价值心存疑虑,希望知道是否投资的每一元钱都物有所值,保障了业务安全。与此同时,网络攻击者变得越来越聪明,攻击能力也与日俱增。而安全团队常会发现自己的工作处于滞后状态,只能通过分析历史数据来判断未来趋势。组织着手缩小这个差距,在这个过程中,威胁情报(TI)因其稳步提升的可用性及适用性获得越来越多的认可。
本文档旨在帮助决策者判断组织是否已做好准备将威胁情报融入其安全项目。更为成熟的组织或已开始利用威胁情报,这样的组织可从本文了解到如何用好威胁情报。
威胁情报工作可能需要投入大量资金。本文 并未 假设组织会划拨预算建立一支专门的大型威胁情报队伍,而是聚焦于融入、响应威胁情报的技术,各种规模的组织都会从中获益。了解当前所面临的威胁,通过实施威胁情报战略尽可能地保护业务,这对于任何组织来说都是明智的做法。
威胁情报定义
威胁情报指通过各种来源获取环境所面临威胁的相关知识。2013 年5 月,Gartner 分析师Rob McMillan 对威胁情报做出了贴切的解释:关于资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。
组织要打造自己的信息安全团队,提升自己的安全状况,威胁情报不可或缺。早发现、早预防安全事件是威胁情报的总体目标。成熟的信息安全团队常将威胁情报视为环境的保护手段,使组织对于已知及未知威胁提前做好准备。当友商遭遇数据泄露时,企业高管与主要利益相关方会认为网络威胁近在眼前。他们只想知道自己的组织是否防护到位。然而,组织若没有定义威胁情报,则威胁情报不应融入其防御措施中。只有定义清楚了,组织才能做以下工作:
定义威胁情报
- 对实施威胁情报的期望切合实际;
- 将期望与企业网络安全目标对齐;
- 识别融入威胁情报后为企业带来最大利益的领域。
假设某组织的威胁情报项目主要为订阅外部数据源。对于这种形式,相应的期望应是团队中有成员负责维护这些信息源。组织可进一步要求该员工将收集到的源数据保证推送到企业。然而,组织还必须能够回答这样的问题,比如“这些数据源应部署到企业哪个部门”、“数据源中所含信息是否要求重新配置边界防御措施以检测特定攻击”。威胁情报的相关性会在后面章节讨论。
另一个组织实施威胁情报时可能着眼于持续、深入地了解各种威胁群及相关策略、技术与过程(TTP)。这种情况下,对信息安全团队的期望是准确定位组织的潜在攻击方以及他们计划采用的攻击方法。这是威胁情报的高级形式,所伴随的相关期望是组织会积极利用威胁情报并根据威胁情报做出响应,为对抗高级攻击者做好准备。
定义威胁情报应了解哪些工作不属于安全情报的范围。它不仅仅是列举数据,表示攻击者在某个时间点的攻击情况,还需要提供其他相关信息,以揭示攻击原理。组织疏于防守或无法了解攻击者并非由过期信息造成,被忽略的也并非是数据源。下一节将详细讨论这些及其他重点内容,以突出威胁情报对组织的重要性。
更多内容请见文末报告下载。
Matt Bromiley是谁?
Matt Bromiley 是SANS GIAC 咨询委员会的成员,取得了GIAC 认证数字取证分析师(GCFA)证书和GIAC 网络取证分析师(GNFA)证书,是一位有为的取证导师。
目前,马特担任一家大型事件响应和取证分析公司的高级顾问,在数字取证、事件响应/ 分类和日志分析方面有丰富经验,且具备磁盘、数据库、网络取证、内存分析和网络安全监控方面的技能。马特与各类型和各规模的客户均有合作,大到跨国公司,小到区域门店。他热爱学习,乐于分享,且热衷于开发开源工具。
本文档由绿盟科技赞助并与美国SANS研究院联合出品
SANS是做什么的
SANS 研究院是一家私营美国营利性公司,成立于 1989 年,专业从事信息安全和网络安全培训。可用于培训的主题包括网络和网络防御、 渗透测试、 事件响应、 数字取证和审计。信息安全课程被经过一个达成共识的过程,涉及管理员、 安全管理员和信息安全专业人员。课程内容包括安全基础知识和技术方面的信息安全。研究所具有公认的培训程序和认证程序。
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。
如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669