最后更新于2023年5月12日(星期五)14:40:55 GMT

本文由诺华全球CSOC副主管Yotam Avitan共同撰写

网络威胁情报(CTI)领域是网络安全领域发展最为迅速的领域之一. 不仅技术和产品在不断更新和发展, 还有方法论和概念. 过去几年发生的关键变化之一是从威胁情报作为一个独立的支柱——向安全组织传播威胁报告——转变为 威胁情报 作为一个中心枢纽,为安全组织的所有职能部门提供有关最优先威胁的知识和信息. 这种变化需要思维方式和方法的转变.

传统上,CTI一直被认为是安全组织中的独立实践. 保安机构是否有专职人员, 从本质上讲,它是一个单独的实践,生成关于组织面临的各种威胁的报告, 观察威胁形势,做出 相同 可访问的威胁数据 所有 安全组织的职能.

传统CTI模型

CISO的传统模型及其安全组织中的不同功能

威胁情报方法论的最新发展正在颠覆这一概念. 有效地, 威胁情报不再是一个独立的支柱, 但每个安全设备都应该考虑到这一点, 过程, 和决策事件. 因此, 威胁情报从业者的任务不再是简单地创建“威胁报告”,还要确保安全机构的每个部门都能有效地利用威胁情报,将其作为日常侦查任务的一部分, 响应, 和整体 风险管理.

网络安全领域的以下主要趋势支持威胁情报的发展:

  1. 自动化 -由于缺乏训练有素的人力资源, 组织正在对其安全操作实施更多的自动化. 通过 飙升的技术在美国,机器对机器的通信正变得更加容易和主流. 自动化允许从CTI工具中提取数据,并不断地将其提供给各种安全设备和安全流程, 无需人为干预. 本质上, 支持CTI与各种安全设备的无缝、近实时集成, 以及自动化的决策过程.
  2. 扩大了获取威胁情报的渠道 威胁情报供应商正在投入更多的资金,以实现威胁情报的大众化,并使各种安全从业人员更容易使用, 本机应用程序 安全信息和事件管理(SIEM) 将威胁数据与内部日志关联起来, 或者将威胁上下文和风险分析注入浏览器的浏览器扩展. 以前, you had lots of threat data that needed manual labor to review 和 take action; today, 您拥有可操作的见解,这些见解无缝集成到您的安全设备中.

更新CTI模型

当今CISO的新模式以及威胁情报在支持其组织中不同职能方面的作用

CTI从业者的新使命

CTI从业者的新任务是为安全组织中的每个功能量身定制威胁情报,并使其成为该功能操作的组成部分. 这种新方法不仅要求他们更新自己的使命, 还要获得新的软技能,使他们能够与安全组织中的其他职能部门合作.

CTI从业者新近扩展的思维方式和技能将包括:

  1. 与不同的利益相关者建立密切的关系 如果内部客户端不知道如何处理威胁,仅仅发送威胁报告是不够的. 对CTI专家来说简单的事情对其他安全从业人员来说不一定简单. 因此, 以实现CTI的任务, 与各种涉众建立密切关系非常重要,这样CTI专家才能更好地了解他们的痛点和需求, 并为他们量身定制最佳解决方案. 这个活动是一个平台,可以提高他们对CTI价值的认识, 从而帮助他们提出并致力于将CTI作为日常工作的一部分的新流程.
  2. 对公司战略和运营有扎实的了解 — The key to a successful CTI program is relevancy; without relevancy, 你留下了很多无法操作的威胁数据. 当您想要将CTI整合到组织内的各种功能中时,相关性是两倍重要的. 相关CTI只有在公司开展业务时才能实现, 组织结构图, 策略也很明确. 这种清晰度使CTI从业者能够认识到与每个功能相关的智能,并根据每个功能的需要对其进行定制.
  3. 对公司技术栈有深刻的理解 —CTI角色不仅仅需要业务理解, 还要对IT基础设施和体系结构有深刻的技术理解. 这些知识将使CTI专家能够根据公司技术堆栈的风险量身定制情报, 它将支持建立一个计划,将内部日志与外部威胁情报联系起来.

以下是威胁情报团队需要实施的几个流程示例,以便为其他安全职能量身定制威胁情报,并使其成为其运作的组成部分:

  1. 第三方违规监控 -要明白最薄弱的环节可能是你的第三方, 及时发现第三方漏洞变得越来越重要. CTI监测支持这些病例的早期发现,IR团队随后将风险降至最低. 这方面的一个例子是监控勒索软件团伙的泄漏站点,以查找从任何第三方泄露的属于您公司的任何数据.
  2. SOC事故分诊 -联合国的主要任务之一 安全运营中心(SOC) 是识别网络事件并快速决定缓解措施. 这可以通过威胁情报信息来极大地改善,以分类指标(例如.g.(域和IP地址). 威胁情报是对这些事件进行有效和高效分类的关键. 这可以很容易地通过威胁情报浏览器扩展来实现,该扩展可以在SIEM中浏览时对ioc进行分类.
  3. 漏洞优先排序流程 -传统的漏洞优先排序过程依赖于CVSS分数和易受攻击资产的临界性. 这使优先次序的努力集中在 影响 对漏洞的利用却很少关注 概率 这些漏洞会被利用. 来自暗网的黑客聊天和安全研究人员的出版物可以帮助我们更好地了解某个漏洞实际上被威胁行为者利用来发动网络攻击的可能性. 这个概率因素是漏洞优先级排序过程中必不可少的缺失部分.
  4. 趋势分析 —CTI从业者可以访问各种资源, 让他们监控网络安全领域的趋势, 他们的特定行业, 或者在公司持有的数据中. 这应该提供给领导(不仅仅是安全领导),以允许智能, 对现有风险的敏捷决策.
  5. 威胁情报和网络安全知识共享 -和“传统”情报一样, 知识共享可以成为网络情报的主要力量倍增器, 太. 威胁情报团队的目标应该是尽可能多地与其他安全团队建立外部合作——尤其是与他们所在行业的安全团队. 这将使团队和安全组织能够更好地了解行业面临的风险, 相应的, 他们的公司. 这些信息还可以让首席信息安全官更好地了解与公司相关的威胁情况.

一个有价值的提议

而不断发展的CTI模型使威胁情报的实现变得更加复杂, 因为它包括与不同功能的协作, 这使得威胁情报本身比以往任何时候都更有价值和影响力. 网络威胁情报的未来正变得越来越令人兴奋!

十大赌博正规信誉网址

利用从业者优先的经验,将精英SOC放在您的团队中.

了解更多