近日,國際權威研究機構Forrester在對Google、IBM、CrowdStrike、微步在線等全球代表廠商和用戶調研后,發布了威脅情報最佳實踐報告《如何讓你的威脅情報有可操作性》(How To Make Your Threat Intelligence Actionable),報告針對戰術級威脅情報(Tactical Threat Intelligence)、運營級威脅情報(Operational Threat Intelligence)、戰略級威脅情報(Strategic Threat Intelligence)更有效應用的關鍵點做了洞察。
戰術級威脅情報主要是指復雜度最低,最容易生產的情報,其更偏技術,比如黑IP地址、URL、文件哈希以及惡意域名這類簡單的失陷指標(IOCs);運營級威脅情報生產難度相對較高,這類情報專注于理解攻擊者的能力、攻擊基礎設施、技戰術與流程(TTPs),并將收集與分析的信息,用于日常的安全運營;戰略級威脅情報復雜度最高,其著眼全球的安全事件、安全風向及其他國內外長遠可能對企業產生影響的安全態勢。
戰術級威脅情報,“及時”才能更有效“制敵”
戰術級威脅情報屬于關鍵基礎情報,通過收集、分析以及利用失陷指標(IOCs)、攻擊者技戰術與攻擊流程,來提升整個企業安全環境的檢測與防御能力,側重于操作層面。戰術級威脅情報能以機讀的形式,通過API或者訂閱方式獲得,便于企業安全人員進行編排或自動化操作,從而進行威脅檢測、響應或緩解惡意軟件、釣魚、數據泄露等安全事件帶來的影響。
通常而言,戰術級威脅情報生命周期非常短暫,類似惡意IP或者惡意域名這類IOCs在幾個小時或者幾天內就會過期。如果只是簡單通過訂閱情報接收大量數據,但無法吸收或是策略性分析與企業自身相關的數據,當數據源不及時或者不準確時,就會產生大量誤報。
在應用戰術級威脅情報過程中,企業需要在IOCs集成到SIEM、安全分析平臺、端點防護工具、防火墻、郵件網關等安全產品過程中,聚焦相關度最高且最危險的威脅告警。對于安全漏洞,不能僅按照通用漏洞評分系統(CVSS)得分最高的標準進行漏洞修補,也需要系統化地進行漏洞優先級排序,把資源用到最危險的漏洞上。
運營級威脅情報,提供高級防御能力
運營級威脅情報對威脅態勢,例如攻擊者、攻擊動機、攻擊能力、攻擊意圖等有更全面的認知。通過運營級威脅情報,企業安全團隊能夠更有效地確定資源的優先級,更及時地響應安全事件,在關鍵資產與數據保護時做出更明智的決策。同時,安全事件響應人員、威脅狩獵人員或者安全分析師,利用運營級威脅情報能夠更準確地識別、遏制以及修復威脅,提升企業安全性,發展主動防御能力。
相比戰術級威脅情報,運營級威脅情報雖然需要的資源更多,但情報的可用周期更長,因為攻擊者不能像更換工具那樣,隨時調整自己特定類型的惡意軟件、基礎設施及技戰法等。使用場景上,運營級威脅情報的用例要求更高,它們需要更可靠的安全控制基線以及更熟練、專業的安全人員。通常而言,漏洞管理、應急響應、威脅監控是運營級威脅情報應用最多的場景。
根據Forrester 2022年的安全調研,41%的安全決策者表示,事件告警和響應過程中的分析與調查花費的時間最多,利用威脅情報中的IOCs和技戰法與流程(TTPs)可以縮短分析與調查時間,提升應急響應效果,降低安全事件影響。此外,企業也可以將運營級威脅情報用于威脅狩獵這一重要場景,從而發現高級未知威脅。基于技戰法、惡意軟件行為分析等情報,威脅狩獵能夠發現繞過傳統安全工具的威脅,更早阻斷攻擊,最大限度減少破壞。
戰略級威脅情報提供全局視角,緩解企業安全風險
戰略級威脅情報需要理解威脅形式的演變、威脅攻擊者的能力與意圖,新的趨勢以及對關鍵資產、基礎設施及業務目標的潛在影響。這類情報提供了對網絡威脅背景更高級的洞察與建議,能夠幫助企業高層或關鍵決策者降低風險,合理分配資源,并制定積極的安全策略。如果缺少此類威脅情報,對安全環境做出錯誤判斷,很可能做出有偏差的決策。
不過,戰略級威脅情報也是最難獲取的,它需要人工進行數據收集和分析,需要對網絡安全和世界地緣政治形勢有深入了解,通常以報告形式提供。企業可以從戰略級威脅情報報告中提取最新的趨勢、數據與建議,從而調整人員配置、整體優先級等,也可以利用報告中的歷史及當前數據,為后續長期計劃提供支撐,或利用威脅情報驗證此前的投資,與同行安全標準看齊。另外,基于可靠的戰略級威脅情報,決策者也可以提升決策在團隊、客戶以及合作伙伴中的信心,增加安全決策被采納與支持的可能性。
網絡攻防的世界,關鍵信息的獲取至關重要,掌握更多、更準確信息的一方,意味著有更精準的判斷,以及更多的主動權。雖然企業越來越認識到威脅情報的價值,但大部分又都受困于如何利用情報的價值。很多企業如今在運用情報的過程中,仍停留在將威脅情報數據集成至現有安全設備,并未最大限度發揮情報可能產生的洞察價值。希望這篇文章,能給你帶來一些啟發。
