首页 > IT业界 > 正文

Forrester最新报告:三大关键点,用好威胁情报

2023-10-12 15:56:58  来源:

摘要:Forrester最新报告:三大关键点,用好威胁情报
关键词: Forrester
近日,国际权威研究机构Forrester在对Google、IBM、CrowdStrike、微步在线等全球代表厂商和用户调研后,发布了威胁情报最佳实践报告《如何让你的威胁情报有可操作性》(How To Make Your Threat Intelligence Actionable),报告针对战术级威胁情报(Tactical Threat Intelligence)、运营级威胁情报(Operational Threat Intelligence)、战略级威胁情报(Strategic Threat Intelligence)更有效应用的关键点做了洞察。

战术级威胁情报主要是指复杂度最低,最容易生产的情报,其更偏技术,比如黑IP地址、URL、文件哈希以及恶意域名这类简单的失陷指标(IOCs);运营级威胁情报生产难度相对较高,这类情报专注于理解攻击者的能力、攻击基础设施、技战术与流程(TTPs),并将收集与分析的信息,用于日常的安全运营;战略级威胁情报复杂度最高,其着眼全球的安全事件、安全风向及其他国内外长远可能对企业产生影响的安全态势。

战术级威胁情报,“及时”才能更有效“制敌”

战术级威胁情报属于关键基础情报,通过收集、分析以及利用失陷指标(IOCs)、攻击者技战术与攻击流程,来提升整个企业安全环境的检测与防御能力,侧重于操作层面。战术级威胁情报能以机读的形式,通过API或者订阅方式获得,便于企业安全人员进行编排或自动化操作,从而进行威胁检测、响应或缓解恶意软件、钓鱼、数据泄露等安全事件带来的影响。

通常而言,战术级威胁情报生命周期非常短暂,类似恶意IP或者恶意域名这类IOCs在几个小时或者几天内就会过期。如果只是简单通过订阅情报接收大量数据,但无法吸收或是策略性分析与企业自身相关的数据,当数据源不及时或者不准确时,就会产生大量误报。

在应用战术级威胁情报过程中,企业需要在IOCs集成到SIEM、安全分析平台、端点防护工具、防火墙、邮件网关等安全产品过程中,聚焦相关度最高且最危险的威胁告警。对于安全漏洞,不能仅按照通用漏洞评分系统(CVSS)得分最高的标准进行漏洞修补,也需要系统化地进行漏洞优先级排序,把资源用到最危险的漏洞上。

运营级威胁情报,提供高级防御能力

运营级威胁情报对威胁态势,例如攻击者、攻击动机、攻击能力、攻击意图等有更全面的认知。通过运营级威胁情报,企业安全团队能够更有效地确定资源的优先级,更及时地响应安全事件,在关键资产与数据保护时做出更明智的决策。同时,安全事件响应人员、威胁狩猎人员或者安全分析师,利用运营级威胁情报能够更准确地识别、遏制以及修复威胁,提升企业安全性,发展主动防御能力。

相比战术级威胁情报,运营级威胁情报虽然需要的资源更多,但情报的可用周期更长,因为攻击者不能像更换工具那样,随时调整自己特定类型的恶意软件、基础设施及技战法等。使用场景上,运营级威胁情报的用例要求更高,它们需要更可靠的安全控制基线以及更熟练、专业的安全人员。通常而言,漏洞管理、应急响应、威胁监控是运营级威胁情报应用最多的场景。

根据Forrester 2022年的安全调研,41%的安全决策者表示,事件告警和响应过程中的分析与调查花费的时间最多,利用威胁情报中的IOCs和技战法与流程(TTPs)可以缩短分析与调查时间,提升应急响应效果,降低安全事件影响。此外,企业也可以将运营级威胁情报用于威胁狩猎这一重要场景,从而发现高级未知威胁。基于技战法、恶意软件行为分析等情报,威胁狩猎能够发现绕过传统安全工具的威胁,更早阻断攻击,最大限度减少破坏。

战略级威胁情报提供全局视角,缓解企业安全风险

战略级威胁情报需要理解威胁形式的演变、威胁攻击者的能力与意图,新的趋势以及对关键资产、基础设施及业务目标的潜在影响。这类情报提供了对网络威胁背景更高级的洞察与建议,能够帮助企业高层或关键决策者降低风险,合理分配资源,并制定积极的安全策略。如果缺少此类威胁情报,对安全环境做出错误判断,很可能做出有偏差的决策。

不过,战略级威胁情报也是最难获取的,它需要人工进行数据收集和分析,需要对网络安全和世界地缘政治形势有深入了解,通常以报告形式提供。企业可以从战略级威胁情报报告中提取最新的趋势、数据与建议,从而调整人员配置、整体优先级等,也可以利用报告中的历史及当前数据,为后续长期计划提供支撑,或利用威胁情报验证此前的投资,与同行安全标准看齐。另外,基于可靠的战略级威胁情报,决策者也可以提升决策在团队、客户以及合作伙伴中的信心,增加安全决策被采纳与支持的可能性。

网络攻防的世界,关键信息的获取至关重要,掌握更多、更准确信息的一方,意味着有更精准的判断,以及更多的主动权。虽然企业越来越认识到威胁情报的价值,但大部分又都受困于如何利用情报的价值。很多企业如今在运用情报的过程中,仍停留在将威胁情报数据集成至现有安全设备,并未最大限度发挥情报可能产生的洞察价值。希望这篇文章,能给你带来一些启发。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baxuedong

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。