網絡威脅情報旨在創建和共享有關快速發展的網絡威脅形勢當前狀態的知識,并為用戶和網絡安全解決方案提供識別當前威脅和為未來做出戰略決策所需的信息和背景。
網絡威脅情報的類型
網絡威脅情報是使用高級分析算法收集和分析多源網絡安全數據。通過收集有關當前網絡安全威脅和趨勢的大量數據并對這些數據進行分析,威脅情報提供商可以獲得有用的數據和見解,幫助他們的客戶更好地檢測和準備網絡威脅。
組織有廣泛的情報需求,從目前用于攻擊活動的惡意軟件變種的低級信息到旨在為戰略投資和政策制定提供信息的高級信息。出于這個原因,威脅情報可以分為三種不同類型之一:
運營:運營威脅情報側重于網絡攻擊者用來實現其目標的工具(惡意軟件、基礎設施等)和技術。這種類型的理解有助于分析師和威脅獵手識別和理解攻擊活動。
戰略:戰略威脅情報是高級別的,側重于網絡威脅領域內的普遍趨勢。這種類型的威脅情報面向需要了解其組織的網絡風險作為其戰略規劃的一部分的高管(通常沒有網絡安全背景)。
戰術:戰術威脅情報側重于使用妥協 (IoC) 指標識別特定類型的惡意軟件或其他網絡攻擊。這種類型的威脅情報被網絡安全解決方案攝取,并用于檢測和阻止傳入或正在進行的攻擊。
威脅情報應該提供什么?
網絡威脅情報旨在提高組織將網絡風險降至最低、管理網絡威脅并將情報反饋到所有產品中的能力,以保護任何攻擊面。為了有效支持組織的網絡安全戰略,威脅情報平臺應提供某些功能:
多源數據關聯:不同的觀點產生不同的數據和見解。威脅情報平臺應聚合內部和外部數據源,為組織提供對其可能面臨的網絡威脅的全面可見性。
自動分析和分類:威脅情報平臺收集的數據很容易使組織的安全團隊不堪重負,使其無法有效使用。威脅情報平臺應該對情報進行自動分析、分類和優先排序,以確保分析師首先看到最重要的數據。
數據共享:將威脅情報數據放在單個集中式系統上(并依靠分析師手動將其分發到他們的防御解決方案)限制了其有效性。威脅情報平臺應包括集成,以便在整個組織的安全部署中自動傳播數據。
自動化:網絡威脅形勢迅速發展,隨著網絡威脅參與者開始新的活動并結束其他活動,威脅情報數據迅速變得陳舊。如果要為用戶提供價值,則必須使用自動化來加速分析和使用威脅情報。
可操作的見解:知道存在特定威脅與知道如何應對它是不同的。威脅情報平臺應就組織如何保護自己免受情報引起他們注意的威脅提供可操作的建議和見解。
如何選擇威脅情報平臺
存在許多不同的威脅情報平臺和源,并且,對于威脅情報,更多并不總是更好。訂閱多個威脅情報源并嘗試在內部匯總和分析它們可能會導致大量冗余和低質量數據。相反,組織應選擇具有以下品質的威脅情報平臺:
實時數據:許多網絡攻擊活動只持續數小時或數分鐘,這意味著每天更新的威脅情報基本上是無用的。一個有效的威脅情報平臺將提供基于實時數據分析的洞察力。
粒度威脅可見性:根據不同的因素(公司規模、位置、行業等)針對不同的網絡攻擊活動。威脅情報平臺應提供對更大市場所面臨威脅以及針對組織特定行業的威脅的可見性。
集成解決方案:識別潛在威脅但依賴分析師響應的網絡威脅情報平臺并不能為其用戶提供其自動化的全部優勢。威脅情報平臺應與網絡安全解決方案集成,并能夠自動響應已識別的威脅。
