网络威胁情报(CTI)是当下发展最快的网络安全细分领域之一,不仅技术和产品在不断更新和演进,方法论和理念也在迅速发展。
过去几年,无论安全组织是否有专职人员,CTI一直被视为安全组织内的独立支柱,它生成关于组织的各种威胁的报告。如今,CTI已经由一个独立支柱逐渐进化为中心枢纽,为安全组织中的所有职能提供威胁相关的知识和优先级信息。值得注意的是:这种变化需要思维方式和方法的转变。
CTI概念的转变
CISO的传统模型及其在安全组织中的不同职能
威胁情报方法的最新发展正在颠覆传统的概念。威胁情报不再是一个独立的支柱,而是应该在每个安全设备、流程和决策事件中吸收和考虑的东西。因此,威胁情报从业者的任务不再是简单地创建“威胁报告”,而是确保安全组织的每个部分都有效地利用威胁情报作为其日常检测、响应任务的一部分,并进行全面的风险管理。
CTI工作流程的新趋势
自动化——由于缺乏训练有素的人力资源,组织正在其安全运营中实施更多的自动化。在SOAR技术的支持下,机器对机器的通信变得更加容易和主流。能够自动的从组织的CTI工具中提取数据,并不断将其输入各种安全设备和安全流程,而无需人工干预。简单来说,就是支持将CTI无缝、近实时地集成到各种安全设备,以及自动化决策过程中。
扩大对威胁情报的访问——威胁情报供应商在使威胁情报民主化并使各种安全从业者易于在CTI解决方案上投入更多资金。例如,用于安全信息和事件管理(SIEM)的本机应用程序,助力其实现将威胁数据与内部日志,或将威胁上下文和风险分析注入浏览器的浏览器扩展中。以前,组织有大量威胁数据需要人工审核并采取行动;如今,组织则拥有无缝集成到安全设备中的可操作洞察能力。
当今CISO的新模式以及威胁情报在支持其组织中的不同职能方面的作用
CTI从业者的新使命
CTI从业者的新使命是针对安全组织中的每个职能定制威胁情报,并使其成为该职能运营不可或缺的一部分。同时,他们还要学习新的软技能,以确保能够与安全组织中的其他职能部门协作。CTI从业者新扩展的思维方式和技能组合将包括:
与各种利益相关者建立密切的关系——如果内部客户不知道如何使用威胁报告,那么发送威胁报告是不够的。因此,为了实现CTI的使命,与各个利益相关者建立密切的关系非常重要,这样CTI专家才能更好地了解他们的痛点和需求,并为他们量身定制最佳解决方案。
对公司战略和运营有扎实的了解——CTI计划成功的关键是相关性;如果没有相关性,就会留下大量无法操作的威胁数据。CTI从业者只有在对公司业务、组织结构图和战略清晰的情况下,才能实现相关的CTI。这种清晰性使CTI从业者能够意识到与每个功能相关的智能,并根据每个功能的需求进行定制。
对公司技术堆栈的深入理解——CTI角色不仅需要对业务的理解,还需要对IT基础设施和架构有深入的技术理解。这些知识将使CTI专家能够针对强加于公司技术堆栈的风险定制情报,并将支持制定将内部日志与外部威胁情报相关联的计划。
以下是威胁情报团队需要实施的几个流程示例,以便针对其他安全功能定制威胁情报,并使其成为其运营不可或缺的一部分:
第三方违规监控——了解最薄弱的环节可能是组织的第三方,因此及时检测第三方违规变得越来越重要。CTI监控支持及早发现这些案例,并由IR团队跟进,将风险降至最低。这方面的一个例子是监控勒索软件团伙的泄漏站点,以查找属于组织的从任何第三方泄漏的任何数据。
SOC事件分类——安全运营中心(SOC)的主要任务之一是识别网络事件并快速决定缓解步骤。通过威胁情报信息对每个事件的指标(例如域和IP地址)进行分类,可以极大地改善这一点。威胁情报是对这些事件进行有效和高效分类的关键。这可以通过威胁情报浏览器扩展轻松实现,该扩展在SIEM中浏览时对IOC进行分类。
漏洞优先级流程——传统的漏洞优先级流程依赖于CVSS分数和易受攻击资产的严重程度。这将优先重点放在漏洞利用的影响上,而很少关注这些漏洞被利用的可能性。来自暗网的黑客聊天和安全研究人员的出版物有助于更好地了解威胁行为者实际上利用某个漏洞发起网络攻击的可能性。此概率因素是漏洞优先级排序过程中必不可少的缺失部分。
趋势分析——CTI从业者可以访问各种来源,使他们能够监控网络安全领域、其特定行业或公司持有的数据中的趋势。这应该提供给领导层(不仅是安全领导层),以便对现有风险做出明智、敏捷的决策。
威胁情报和网络安全知识共享——与“传统”情报一样,知识共享也可以成为网络情报的主要力量倍增器。威胁情报团队的目标应该是尽可能多地与其他安全团队,尤其是他们工作的行业,建立尽可能多的外部合作。这些信息可以让组织团队和CISO从业者更好地了解与公司相关的威胁形势。
虽然不断发展的CTI模型使威胁情报实施变得更加复杂,因为包括了与不同功能的协作,但这种进化也使威胁情报比以往任何时候都更有价值和影响更大。网络威胁情报正在迎来黄金时代。