近日,國(guó)際權(quán)威研究機(jī)構(gòu)Forrester在對(duì)Google、IBM、CrowdStrike、微步在線(xiàn)等全球代表廠商和用戶(hù)調(diào)研后,發(fā)布了威脅情報(bào)最佳實(shí)踐報(bào)告《如何讓你的威脅情報(bào)有可操作性》(How To Make Your Threat Intelligence Actionable),報(bào)告針對(duì)戰(zhàn)術(shù)級(jí)威脅情報(bào)(Tactical Threat Intelligence)、運(yùn)營(yíng)級(jí)威脅情報(bào)(Operational Threat Intelligence)、戰(zhàn)略級(jí)威脅情報(bào)(Strategic Threat Intelligence)更有效應(yīng)用的關(guān)鍵點(diǎn)做了洞察。
戰(zhàn)術(shù)級(jí)威脅情報(bào)主要是指復(fù)雜度最低,最容易生產(chǎn)的情報(bào),其更偏技術(shù),比如黑IP地址、URL、文件哈希以及惡意域名這類(lèi)簡(jiǎn)單的失陷指標(biāo)(IOCs);運(yùn)營(yíng)級(jí)威脅情報(bào)生產(chǎn)難度相對(duì)較高,這類(lèi)情報(bào)專(zhuān)注于理解攻擊者的能力、攻擊基礎(chǔ)設(shè)施、技戰(zhàn)術(shù)與流程(TTPs),并將收集與分析的信息,用于日常的安全運(yùn)營(yíng);戰(zhàn)略級(jí)威脅情報(bào)復(fù)雜度最高,其著眼全球的安全事件、安全風(fēng)向及其他國(guó)內(nèi)外長(zhǎng)遠(yuǎn)可能對(duì)企業(yè)產(chǎn)生影響的安全態(tài)勢(shì)。
戰(zhàn)術(shù)級(jí)威脅情報(bào),“及時(shí)”才能更有效“制敵”
戰(zhàn)術(shù)級(jí)威脅情報(bào)屬于關(guān)鍵基礎(chǔ)情報(bào),通過(guò)收集、分析以及利用失陷指標(biāo)(IOCs)、攻擊者技戰(zhàn)術(shù)與攻擊流程,來(lái)提升整個(gè)企業(yè)安全環(huán)境的檢測(cè)與防御能力,側(cè)重于操作層面。戰(zhàn)術(shù)級(jí)威脅情報(bào)能以機(jī)讀的形式,通過(guò)API或者訂閱方式獲得,便于企業(yè)安全人員進(jìn)行編排或自動(dòng)化操作,從而進(jìn)行威脅檢測(cè)、響應(yīng)或緩解惡意軟件、釣魚(yú)、數(shù)據(jù)泄露等安全事件帶來(lái)的影響。
通常而言,戰(zhàn)術(shù)級(jí)威脅情報(bào)生命周期非常短暫,類(lèi)似惡意IP或者惡意域名這類(lèi)IOCs在幾個(gè)小時(shí)或者幾天內(nèi)就會(huì)過(guò)期。如果只是簡(jiǎn)單通過(guò)訂閱情報(bào)接收大量數(shù)據(jù),但無(wú)法吸收或是策略性分析與企業(yè)自身相關(guān)的數(shù)據(jù),當(dāng)數(shù)據(jù)源不及時(shí)或者不準(zhǔn)確時(shí),就會(huì)產(chǎn)生大量誤報(bào)。
在應(yīng)用戰(zhàn)術(shù)級(jí)威脅情報(bào)過(guò)程中,企業(yè)需要在IOCs集成到SIEM、安全分析平臺(tái)、端點(diǎn)防護(hù)工具、防火墻、郵件網(wǎng)關(guān)等安全產(chǎn)品過(guò)程中,聚焦相關(guān)度最高且最危險(xiǎn)的威脅告警。對(duì)于安全漏洞,不能僅按照通用漏洞評(píng)分系統(tǒng)(CVSS)得分最高的標(biāo)準(zhǔn)進(jìn)行漏洞修補(bǔ),也需要系統(tǒng)化地進(jìn)行漏洞優(yōu)先級(jí)排序,把資源用到最危險(xiǎn)的漏洞上。
運(yùn)營(yíng)級(jí)威脅情報(bào),提供高級(jí)防御能力
運(yùn)營(yíng)級(jí)威脅情報(bào)對(duì)威脅態(tài)勢(shì),例如攻擊者、攻擊動(dòng)機(jī)、攻擊能力、攻擊意圖等有更全面的認(rèn)知。通過(guò)運(yùn)營(yíng)級(jí)威脅情報(bào),企業(yè)安全團(tuán)隊(duì)能夠更有效地確定資源的優(yōu)先級(jí),更及時(shí)地響應(yīng)安全事件,在關(guān)鍵資產(chǎn)與數(shù)據(jù)保護(hù)時(shí)做出更明智的決策。同時(shí),安全事件響應(yīng)人員、威脅狩獵人員或者安全分析師,利用運(yùn)營(yíng)級(jí)威脅情報(bào)能夠更準(zhǔn)確地識(shí)別、遏制以及修復(fù)威脅,提升企業(yè)安全性,發(fā)展主動(dòng)防御能力。
相比戰(zhàn)術(shù)級(jí)威脅情報(bào),運(yùn)營(yíng)級(jí)威脅情報(bào)雖然需要的資源更多,但情報(bào)的可用周期更長(zhǎng),因?yàn)楣粽卟荒芟窀鼡Q工具那樣,隨時(shí)調(diào)整自己特定類(lèi)型的惡意軟件、基礎(chǔ)設(shè)施及技戰(zhàn)法等。使用場(chǎng)景上,運(yùn)營(yíng)級(jí)威脅情報(bào)的用例要求更高,它們需要更可靠的安全控制基線(xiàn)以及更熟練、專(zhuān)業(yè)的安全人員。通常而言,漏洞管理、應(yīng)急響應(yīng)、威脅監(jiān)控是運(yùn)營(yíng)級(jí)威脅情報(bào)應(yīng)用最多的場(chǎng)景。
根據(jù)Forrester 2022年的安全調(diào)研,41%的安全決策者表示,事件告警和響應(yīng)過(guò)程中的分析與調(diào)查花費(fèi)的時(shí)間最多,利用威脅情報(bào)中的IOCs和技戰(zhàn)法與流程(TTPs)可以縮短分析與調(diào)查時(shí)間,提升應(yīng)急響應(yīng)效果,降低安全事件影響。此外,企業(yè)也可以將運(yùn)營(yíng)級(jí)威脅情報(bào)用于威脅狩獵這一重要場(chǎng)景,從而發(fā)現(xiàn)高級(jí)未知威脅。基于技戰(zhàn)法、惡意軟件行為分析等情報(bào),威脅狩獵能夠發(fā)現(xiàn)繞過(guò)傳統(tǒng)安全工具的威脅,更早阻斷攻擊,最大限度減少破壞。
戰(zhàn)略級(jí)威脅情報(bào)提供全局視角,緩解企業(yè)安全風(fēng)險(xiǎn)
戰(zhàn)略級(jí)威脅情報(bào)需要理解威脅形式的演變、威脅攻擊者的能力與意圖,新的趨勢(shì)以及對(duì)關(guān)鍵資產(chǎn)、基礎(chǔ)設(shè)施及業(yè)務(wù)目標(biāo)的潛在影響。這類(lèi)情報(bào)提供了對(duì)網(wǎng)絡(luò)威脅背景更高級(jí)的洞察與建議,能夠幫助企業(yè)高層或關(guān)鍵決策者降低風(fēng)險(xiǎn),合理分配資源,并制定積極的安全策略。如果缺少此類(lèi)威脅情報(bào),對(duì)安全環(huán)境做出錯(cuò)誤判斷,很可能做出有偏差的決策。
不過(guò),戰(zhàn)略級(jí)威脅情報(bào)也是最難獲取的,它需要人工進(jìn)行數(shù)據(jù)收集和分析,需要對(duì)網(wǎng)絡(luò)安全和世界地緣政治形勢(shì)有深入了解,通常以報(bào)告形式提供。企業(yè)可以從戰(zhàn)略級(jí)威脅情報(bào)報(bào)告中提取最新的趨勢(shì)、數(shù)據(jù)與建議,從而調(diào)整人員配置、整體優(yōu)先級(jí)等,也可以利用報(bào)告中的歷史及當(dāng)前數(shù)據(jù),為后續(xù)長(zhǎng)期計(jì)劃提供支撐,或利用威脅情報(bào)驗(yàn)證此前的投資,與同行安全標(biāo)準(zhǔn)看齊。另外,基于可靠的戰(zhàn)略級(jí)威脅情報(bào),決策者也可以提升決策在團(tuán)隊(duì)、客戶(hù)以及合作伙伴中的信心,增加安全決策被采納與支持的可能性。
網(wǎng)絡(luò)攻防的世界,關(guān)鍵信息的獲取至關(guān)重要,掌握更多、更準(zhǔn)確信息的一方,意味著有更精準(zhǔn)的判斷,以及更多的主動(dòng)權(quán)。雖然企業(yè)越來(lái)越認(rèn)識(shí)到威脅情報(bào)的價(jià)值,但大部分又都受困于如何利用情報(bào)的價(jià)值。很多企業(yè)如今在運(yùn)用情報(bào)的過(guò)程中,仍停留在將威脅情報(bào)數(shù)據(jù)集成至現(xiàn)有安全設(shè)備,并未最大限度發(fā)揮情報(bào)可能產(chǎn)生的洞察價(jià)值。希望這篇文章,能給你帶來(lái)一些啟發(fā)。
