近日,国际权威研究机构Forrester在对Google、IBM、CrowdStrike、微步在线等全球代表厂商和用户调研后,发布了威胁情报最佳实践报告《如何让你的威胁情报有可操作性》(How To Make Your Threat Intelligence Actionable),报告针对战术级威胁情报(Tactical Threat Intelligence)、运营级威胁情报(Operational Threat Intelligence)、战略级威胁情报(Strategic Threat Intelligence)更有效应用的关键点做了洞察。
战术级威胁情报主要是指复杂度最低,最容易生产的情报,其更偏技术,比如黑IP地址、URL、文件哈希以及恶意域名这类简单的失陷指标(IOCs);运营级威胁情报生产难度相对较高,这类情报专注于理解攻击者的能力、攻击基础设施、技战术与流程(TTPs),并将收集与分析的信息,用于日常的安全运营;战略级威胁情报复杂度最高,其着眼全球的安全事件、安全风向及其他国内外长远可能对企业产生影响的安全态势。
战术级威胁情报,“及时”才能更有效“制敌”
战术级威胁情报属于关键基础情报,通过收集、分析以及利用失陷指标(IOCs)、攻击者技战术与攻击流程,来提升整个企业安全环境的检测与防御能力,侧重于操作层面。战术级威胁情报能以机读的形式,通过API或者订阅方式获得,便于企业安全人员进行编排或自动化操作,从而进行威胁检测、响应或缓解恶意软件、钓鱼、数据泄露等安全事件带来的影响。
通常而言,战术级威胁情报生命周期非常短暂,类似恶意IP或者恶意域名这类IOCs在几个小时或者几天内就会过期。如果只是简单通过订阅情报接收大量数据,但无法吸收或是策略性分析与企业自身相关的数据,当数据源不及时或者不准确时,就会产生大量误报。
在应用战术级威胁情报过程中,企业需要在IOCs集成到SIEM、安全分析平台、端点防护工具、防火墙、邮件网关等安全产品过程中,聚焦相关度最高且最危险的威胁告警。对于安全漏洞,不能仅按照通用漏洞评分系统(CVSS)得分最高的标准进行漏洞修补,也需要系统化地进行漏洞优先级排序,把资源用到最危险的漏洞上。
运营级威胁情报,提供高级防御能力
运营级威胁情报对威胁态势,例如攻击者、攻击动机、攻击能力、攻击意图等有更全面的认知。通过运营级威胁情报,企业安全团队能够更有效地确定资源的优先级,更及时地响应安全事件,在关键资产与数据保护时做出更明智的决策。同时,安全事件响应人员、威胁狩猎人员或者安全分析师,利用运营级威胁情报能够更准确地识别、遏制以及修复威胁,提升企业安全性,发展主动防御能力。
相比战术级威胁情报,运营级威胁情报虽然需要的资源更多,但情报的可用周期更长,因为攻击者不能像更换工具那样,随时调整自己特定类型的恶意软件、基础设施及技战法等。使用场景上,运营级威胁情报的用例要求更高,它们需要更可靠的安全控制基线以及更熟练、专业的安全人员。通常而言,漏洞管理、应急响应、威胁监控是运营级威胁情报应用最多的场景。
根据Forrester 2022年的安全调研,41%的安全决策者表示,事件告警和响应过程中的分析与调查花费的时间最多,利用威胁情报中的IOCs和技战法与流程(TTPs)可以缩短分析与调查时间,提升应急响应效果,降低安全事件影响。此外,企业也可以将运营级威胁情报用于威胁狩猎这一重要场景,从而发现高级未知威胁。基于技战法、恶意软件行为分析等情报,威胁狩猎能够发现绕过传统安全工具的威胁,更早阻断攻击,最大限度减少破坏。
战略级威胁情报提供全局视角,缓解企业安全风险
战略级威胁情报需要理解威胁形式的演变、威胁攻击者的能力与意图,新的趋势以及对关键资产、基础设施及业务目标的潜在影响。这类情报提供了对网络威胁背景更高级的洞察与建议,能够帮助企业高层或关键决策者降低风险,合理分配资源,并制定积极的安全策略。如果缺少此类威胁情报,对安全环境做出错误判断,很可能做出有偏差的决策。
不过,战略级威胁情报也是最难获取的,它需要人工进行数据收集和分析,需要对网络安全和世界地缘政治形势有深入了解,通常以报告形式提供。企业可以从战略级威胁情报报告中提取最新的趋势、数据与建议,从而调整人员配置、整体优先级等,也可以利用报告中的历史及当前数据,为后续长期计划提供支撑,或利用威胁情报验证此前的投资,与同行安全标准看齐。另外,基于可靠的战略级威胁情报,决策者也可以提升决策在团队、客户以及合作伙伴中的信心,增加安全决策被采纳与支持的可能性。
网络攻防的世界,关键信息的获取至关重要,掌握更多、更准确信息的一方,意味着有更精准的判断,以及更多的主动权。虽然企业越来越认识到威胁情报的价值,但大部分又都受困于如何利用情报的价值。很多企业如今在运用情报的过程中,仍停留在将威胁情报数据集成至现有安全设备,并未最大限度发挥情报可能产生的洞察价值。希望这篇文章,能给你带来一些启发。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安