近日,國際權(quán)威研究機構(gòu)Forrester在對Google、IBM、CrowdStrike、微步在線等全球代表廠商和用戶調(diào)研后,發(fā)布了威脅情報最佳實踐報告《如何讓你的威脅情報有可操作性》(How To Make Your Threat Intelligence Actionable),報告針對戰(zhàn)術(shù)級威脅情報(Tactical Threat Intelligence)、運營級威脅情報(Operational Threat Intelligence)、戰(zhàn)略級威脅情報(Strategic Threat Intelligence)更有效應用的關(guān)鍵點做了洞察。
戰(zhàn)術(shù)級威脅情報主要是指復雜度最低,最容易生產(chǎn)的情報,其更偏技術(shù),比如黑IP地址、URL、文件哈希以及惡意域名這類簡單的失陷指標(IOCs);運營級威脅情報生產(chǎn)難度相對較高,這類情報專注于理解攻擊者的能力、攻擊基礎設施、技戰(zhàn)術(shù)與流程(TTPs),并將收集與分析的信息,用于日常的安全運營;戰(zhàn)略級威脅情報復雜度最高,其著眼全球的安全事件、安全風向及其他國內(nèi)外長遠可能對企業(yè)產(chǎn)生影響的安全態(tài)勢。
戰(zhàn)術(shù)級威脅情報,“及時”才能更有效“制敵”
戰(zhàn)術(shù)級威脅情報屬于關(guān)鍵基礎情報,通過收集、分析以及利用失陷指標(IOCs)、攻擊者技戰(zhàn)術(shù)與攻擊流程,來提升整個企業(yè)安全環(huán)境的檢測與防御能力,側(cè)重于操作層面。戰(zhàn)術(shù)級威脅情報能以機讀的形式,通過API或者訂閱方式獲得,便于企業(yè)安全人員進行編排或自動化操作,從而進行威脅檢測、響應或緩解惡意軟件、釣魚、數(shù)據(jù)泄露等安全事件帶來的影響。
通常而言,戰(zhàn)術(shù)級威脅情報生命周期非常短暫,類似惡意IP或者惡意域名這類IOCs在幾個小時或者幾天內(nèi)就會過期。如果只是簡單通過訂閱情報接收大量數(shù)據(jù),但無法吸收或是策略性分析與企業(yè)自身相關(guān)的數(shù)據(jù),當數(shù)據(jù)源不及時或者不準確時,就會產(chǎn)生大量誤報。
在應用戰(zhàn)術(shù)級威脅情報過程中,企業(yè)需要在IOCs集成到SIEM、安全分析平臺、端點防護工具、防火墻、郵件網(wǎng)關(guān)等安全產(chǎn)品過程中,聚焦相關(guān)度最高且最危險的威脅告警。對于安全漏洞,不能僅按照通用漏洞評分系統(tǒng)(CVSS)得分最高的標準進行漏洞修補,也需要系統(tǒng)化地進行漏洞優(yōu)先級排序,把資源用到最危險的漏洞上。
運營級威脅情報,提供高級防御能力
運營級威脅情報對威脅態(tài)勢,例如攻擊者、攻擊動機、攻擊能力、攻擊意圖等有更全面的認知。通過運營級威脅情報,企業(yè)安全團隊能夠更有效地確定資源的優(yōu)先級,更及時地響應安全事件,在關(guān)鍵資產(chǎn)與數(shù)據(jù)保護時做出更明智的決策。同時,安全事件響應人員、威脅狩獵人員或者安全分析師,利用運營級威脅情報能夠更準確地識別、遏制以及修復威脅,提升企業(yè)安全性,發(fā)展主動防御能力。
相比戰(zhàn)術(shù)級威脅情報,運營級威脅情報雖然需要的資源更多,但情報的可用周期更長,因為攻擊者不能像更換工具那樣,隨時調(diào)整自己特定類型的惡意軟件、基礎設施及技戰(zhàn)法等。使用場景上,運營級威脅情報的用例要求更高,它們需要更可靠的安全控制基線以及更熟練、專業(yè)的安全人員。通常而言,漏洞管理、應急響應、威脅監(jiān)控是運營級威脅情報應用最多的場景。
根據(jù)Forrester 2022年的安全調(diào)研,41%的安全決策者表示,事件告警和響應過程中的分析與調(diào)查花費的時間最多,利用威脅情報中的IOCs和技戰(zhàn)法與流程(TTPs)可以縮短分析與調(diào)查時間,提升應急響應效果,降低安全事件影響。此外,企業(yè)也可以將運營級威脅情報用于威脅狩獵這一重要場景,從而發(fā)現(xiàn)高級未知威脅。基于技戰(zhàn)法、惡意軟件行為分析等情報,威脅狩獵能夠發(fā)現(xiàn)繞過傳統(tǒng)安全工具的威脅,更早阻斷攻擊,最大限度減少破壞。
戰(zhàn)略級威脅情報提供全局視角,緩解企業(yè)安全風險
戰(zhàn)略級威脅情報需要理解威脅形式的演變、威脅攻擊者的能力與意圖,新的趨勢以及對關(guān)鍵資產(chǎn)、基礎設施及業(yè)務目標的潛在影響。這類情報提供了對網(wǎng)絡威脅背景更高級的洞察與建議,能夠幫助企業(yè)高層或關(guān)鍵決策者降低風險,合理分配資源,并制定積極的安全策略。如果缺少此類威脅情報,對安全環(huán)境做出錯誤判斷,很可能做出有偏差的決策。
不過,戰(zhàn)略級威脅情報也是最難獲取的,它需要人工進行數(shù)據(jù)收集和分析,需要對網(wǎng)絡安全和世界地緣政治形勢有深入了解,通常以報告形式提供。企業(yè)可以從戰(zhàn)略級威脅情報報告中提取最新的趨勢、數(shù)據(jù)與建議,從而調(diào)整人員配置、整體優(yōu)先級等,也可以利用報告中的歷史及當前數(shù)據(jù),為后續(xù)長期計劃提供支撐,或利用威脅情報驗證此前的投資,與同行安全標準看齊。另外,基于可靠的戰(zhàn)略級威脅情報,決策者也可以提升決策在團隊、客戶以及合作伙伴中的信心,增加安全決策被采納與支持的可能性。
網(wǎng)絡攻防的世界,關(guān)鍵信息的獲取至關(guān)重要,掌握更多、更準確信息的一方,意味著有更精準的判斷,以及更多的主動權(quán)。雖然企業(yè)越來越認識到威脅情報的價值,但大部分又都受困于如何利用情報的價值。很多企業(yè)如今在運用情報的過程中,仍停留在將威脅情報數(shù)據(jù)集成至現(xiàn)有安全設備,并未最大限度發(fā)揮情報可能產(chǎn)生的洞察價值。希望這篇文章,能給你帶來一些啟發(fā)。
