近日,國際權(quán)威研究機(jī)構(gòu)Forrester在對Google、IBM、CrowdStrike、微步在線等全球代表廠商和用戶調(diào)研后,發(fā)布了威脅情報(bào)最佳實(shí)踐報(bào)告《如何讓你的威脅情報(bào)有可操作性》(How To Make Your Threat Intelligence Actionable),報(bào)告針對戰(zhàn)術(shù)級威脅情報(bào)(Tactical Threat Intelligence)、運(yùn)營級威脅情報(bào)(Operational Threat Intelligence)、戰(zhàn)略級威脅情報(bào)(Strategic Threat Intelligence)更有效應(yīng)用的關(guān)鍵點(diǎn)做了洞察。
戰(zhàn)術(shù)級威脅情報(bào)主要是指復(fù)雜度最低,最容易生產(chǎn)的情報(bào),其更偏技術(shù),比如黑IP地址、URL、文件哈希以及惡意域名這類簡單的失陷指標(biāo)(IOCs);運(yùn)營級威脅情報(bào)生產(chǎn)難度相對較高,這類情報(bào)專注于理解攻擊者的能力、攻擊基礎(chǔ)設(shè)施、技戰(zhàn)術(shù)與流程(TTPs),并將收集與分析的信息,用于日常的安全運(yùn)營;戰(zhàn)略級威脅情報(bào)復(fù)雜度最高,其著眼全球的安全事件、安全風(fēng)向及其他國內(nèi)外長遠(yuǎn)可能對企業(yè)產(chǎn)生影響的安全態(tài)勢。
戰(zhàn)術(shù)級威脅情報(bào),“及時”才能更有效“制敵”
戰(zhàn)術(shù)級威脅情報(bào)屬于關(guān)鍵基礎(chǔ)情報(bào),通過收集、分析以及利用失陷指標(biāo)(IOCs)、攻擊者技戰(zhàn)術(shù)與攻擊流程,來提升整個企業(yè)安全環(huán)境的檢測與防御能力,側(cè)重于操作層面。戰(zhàn)術(shù)級威脅情報(bào)能以機(jī)讀的形式,通過API或者訂閱方式獲得,便于企業(yè)安全人員進(jìn)行編排或自動化操作,從而進(jìn)行威脅檢測、響應(yīng)或緩解惡意軟件、釣魚、數(shù)據(jù)泄露等安全事件帶來的影響。
通常而言,戰(zhàn)術(shù)級威脅情報(bào)生命周期非常短暫,類似惡意IP或者惡意域名這類IOCs在幾個小時或者幾天內(nèi)就會過期。如果只是簡單通過訂閱情報(bào)接收大量數(shù)據(jù),但無法吸收或是策略性分析與企業(yè)自身相關(guān)的數(shù)據(jù),當(dāng)數(shù)據(jù)源不及時或者不準(zhǔn)確時,就會產(chǎn)生大量誤報(bào)。
在應(yīng)用戰(zhàn)術(shù)級威脅情報(bào)過程中,企業(yè)需要在IOCs集成到SIEM、安全分析平臺、端點(diǎn)防護(hù)工具、防火墻、郵件網(wǎng)關(guān)等安全產(chǎn)品過程中,聚焦相關(guān)度最高且最危險的威脅告警。對于安全漏洞,不能僅按照通用漏洞評分系統(tǒng)(CVSS)得分最高的標(biāo)準(zhǔn)進(jìn)行漏洞修補(bǔ),也需要系統(tǒng)化地進(jìn)行漏洞優(yōu)先級排序,把資源用到最危險的漏洞上。
運(yùn)營級威脅情報(bào),提供高級防御能力
運(yùn)營級威脅情報(bào)對威脅態(tài)勢,例如攻擊者、攻擊動機(jī)、攻擊能力、攻擊意圖等有更全面的認(rèn)知。通過運(yùn)營級威脅情報(bào),企業(yè)安全團(tuán)隊(duì)能夠更有效地確定資源的優(yōu)先級,更及時地響應(yīng)安全事件,在關(guān)鍵資產(chǎn)與數(shù)據(jù)保護(hù)時做出更明智的決策。同時,安全事件響應(yīng)人員、威脅狩獵人員或者安全分析師,利用運(yùn)營級威脅情報(bào)能夠更準(zhǔn)確地識別、遏制以及修復(fù)威脅,提升企業(yè)安全性,發(fā)展主動防御能力。
相比戰(zhàn)術(shù)級威脅情報(bào),運(yùn)營級威脅情報(bào)雖然需要的資源更多,但情報(bào)的可用周期更長,因?yàn)楣粽卟荒芟窀鼡Q工具那樣,隨時調(diào)整自己特定類型的惡意軟件、基礎(chǔ)設(shè)施及技戰(zhàn)法等。使用場景上,運(yùn)營級威脅情報(bào)的用例要求更高,它們需要更可靠的安全控制基線以及更熟練、專業(yè)的安全人員。通常而言,漏洞管理、應(yīng)急響應(yīng)、威脅監(jiān)控是運(yùn)營級威脅情報(bào)應(yīng)用最多的場景。
根據(jù)Forrester 2022年的安全調(diào)研,41%的安全決策者表示,事件告警和響應(yīng)過程中的分析與調(diào)查花費(fèi)的時間最多,利用威脅情報(bào)中的IOCs和技戰(zhàn)法與流程(TTPs)可以縮短分析與調(diào)查時間,提升應(yīng)急響應(yīng)效果,降低安全事件影響。此外,企業(yè)也可以將運(yùn)營級威脅情報(bào)用于威脅狩獵這一重要場景,從而發(fā)現(xiàn)高級未知威脅。基于技戰(zhàn)法、惡意軟件行為分析等情報(bào),威脅狩獵能夠發(fā)現(xiàn)繞過傳統(tǒng)安全工具的威脅,更早阻斷攻擊,最大限度減少破壞。
戰(zhàn)略級威脅情報(bào)提供全局視角,緩解企業(yè)安全風(fēng)險
戰(zhàn)略級威脅情報(bào)需要理解威脅形式的演變、威脅攻擊者的能力與意圖,新的趨勢以及對關(guān)鍵資產(chǎn)、基礎(chǔ)設(shè)施及業(yè)務(wù)目標(biāo)的潛在影響。這類情報(bào)提供了對網(wǎng)絡(luò)威脅背景更高級的洞察與建議,能夠幫助企業(yè)高層或關(guān)鍵決策者降低風(fēng)險,合理分配資源,并制定積極的安全策略。如果缺少此類威脅情報(bào),對安全環(huán)境做出錯誤判斷,很可能做出有偏差的決策。
不過,戰(zhàn)略級威脅情報(bào)也是最難獲取的,它需要人工進(jìn)行數(shù)據(jù)收集和分析,需要對網(wǎng)絡(luò)安全和世界地緣政治形勢有深入了解,通常以報(bào)告形式提供。企業(yè)可以從戰(zhàn)略級威脅情報(bào)報(bào)告中提取最新的趨勢、數(shù)據(jù)與建議,從而調(diào)整人員配置、整體優(yōu)先級等,也可以利用報(bào)告中的歷史及當(dāng)前數(shù)據(jù),為后續(xù)長期計(jì)劃提供支撐,或利用威脅情報(bào)驗(yàn)證此前的投資,與同行安全標(biāo)準(zhǔn)看齊。另外,基于可靠的戰(zhàn)略級威脅情報(bào),決策者也可以提升決策在團(tuán)隊(duì)、客戶以及合作伙伴中的信心,增加安全決策被采納與支持的可能性。
網(wǎng)絡(luò)攻防的世界,關(guān)鍵信息的獲取至關(guān)重要,掌握更多、更準(zhǔn)確信息的一方,意味著有更精準(zhǔn)的判斷,以及更多的主動權(quán)。雖然企業(yè)越來越認(rèn)識到威脅情報(bào)的價值,但大部分又都受困于如何利用情報(bào)的價值。很多企業(yè)如今在運(yùn)用情報(bào)的過程中,仍停留在將威脅情報(bào)數(shù)據(jù)集成至現(xiàn)有安全設(shè)備,并未最大限度發(fā)揮情報(bào)可能產(chǎn)生的洞察價值。希望這篇文章,能給你帶來一些啟發(fā)。
