网络威胁情报(CTI)是增长最快的网络安全领域之一。不仅技术和产品在不断更新和演化,方法论和理念也在飞速发展。在过去几年中,CTI一直被视为安全组织内的独立支柱,无论是否有专职人员,都会生成有关组织面临的各种威胁的报告。今天,CTI已经从一个独立的支柱发展成为一个中心枢纽,为安全组织中的所有职能部门提供与威胁相关的知识和优先级信息。值得注意的是:这种变化需要思维方式和方法的转变。CTI概念的转变CISO的传统模型及其在安全组织中的不同职能最近威胁情报方法的发展正在颠覆传统观念。威胁情报不再是一个独立的支柱,而是应该在每个安全设备、流程和决策事件中吸收和考虑的东西。因此,威胁情报从业者的任务不再是简单地创建“威胁报告”,而是确保安全组织的每个部分都有效地利用威胁情报作为其日常检测、响应任务和全面风险管理的一部分。CTI工作流自动化的新趋势——由于缺乏训练有素的人力资源,组织正在其安全操作中实施更多的自动化。在SOAR技术的支持下,机器对机器的通信变得更加简单和主流。它可以自动从组织的CTI工具中提取数据,并持续输入到各种安全设备和安全流程中,无需人工干预。简单地说,它支持CTI无缝、近实时地集成到各种安全设备和自动化决策过程中。扩大对威胁情报的访问——威胁情报供应商正在使威胁情报大众化,并使各种安全从业者能够轻松地对CTI解决方案进行更多投资。例如,用于安全信息和事件管理(SIEM)的本机应用程序,使其能够将威胁数据与内部日志相结合,或将威胁上下文和风险分析注入浏览器的浏览器扩展中。曾经拥有大量需要人工审查和采取行动的威胁数据的组织;如今,组织已将可操作的见解无缝集成到安全设备中。当今CISO的新范例以及威胁情报在支持其组织中不同职能方面的作用CTI从业者的新使命CTI从业者的新使命是为安全组织中的每个职能定制威胁情报,并使其成为一部分该功能的组成部分的操作。同时,他们学习新的软技能,以确保他们能够与安全组织中的其他职能部门协作。CTI从业者新扩展的思维方式和技能组合将包括:与各种利益相关者建立密切关系——如果内部客户不知道如何使用它,仅仅发送威胁报告是不够的。因此,要实现CTI的使命,与各利益相关者建立紧密的关系非常重要,这样CTI的专家才能更好地了解他们的痛点和需求,为他们量身定制最佳的解决方案。对公司战略和运营的深刻理解——成功的CTI项目的关键是相关性;没有它,您将留下大量无法采取行动的威胁数据。CTI从业者只有清楚地了解公司的业务、组织结构图和战略,才能实现相关的CTI。这种清晰度使CTI从业者能够了解与每个功能相关的智能,并根据每个功能的需求对其进行定制。深入了解公司的技术堆栈——CTI角色不仅需要了解业务,还需要对IT基础架构和架构有深入的技术了解。这些知识将使CTI专家能够根据公司技术堆栈所面临的风险定制情报,并将支持制定将内部日志与外部威胁情报相关联的计划。以下是威胁情报团队需要实施的几个流程示例,以便为其他安全功能定制威胁情报并使其成为其运营不可或缺的一部分:第三方违规监控——了解最薄弱的环节可能是组织的第第三方,因此及时发现第三方违规行为变得越来越重要。CTI监控支持早期发现这些案例并由IR团队进行跟进,以最大限度地降低风险。这方面的一个例子是监视勒索软件团伙的泄漏站点,以查找从属于该组织的任何第三方泄漏的任何数据。SOC事件分类——安全运营中心(SOC)的主要任务之一是识别网络事件并快速决定缓解措施。这可以通过威胁情报信息对每个事件的指标(例如域和IP地址)进行分类来大大改善。威胁情报是有效且高效地对这些事件进行分类的关键。这可以通过威胁情报浏览器扩展轻松实现,该扩展在SIEM中浏览时对IOC进行分类。漏洞优先级排序流程——传统的漏洞优先级排序流程依赖于CVSS分数和易受攻击资产的严重性。这将高度重视漏洞利用的影响,而很少关注这些漏洞被利用的可能性。来自暗网的黑客聊天和安全研究人员的出版物有助于更好地了解威胁行为者实际利用漏洞发起网络攻击的可能性。这个概率因素是漏洞优先级排序过程中必不可少的缺失部分。趋势分析——CTI从业者可以访问各种来源,使他们能够监控网络安全领域、他们的特定行业或公司持有的数据的趋势。这应该提供给领导层(而不仅仅是安全领导层),以便就现有风险做出明智、敏捷的决策。威胁情报和网络安全知识共享——与“传统”情报一样,知识共享可以成为网络情报的主要力量倍增器。威胁情报团队应致力于与其他安全团队建立尽可能多的外部协作,尤其是在他们工作的行业中。这些信息可以让组织团队和CISO从业者更好地了解与公司相关的威胁形势。虽然不断发展的CTI模型使威胁情报的实施变得更加复杂,因为它包括与不同功能的协作,但这种演变也使威胁情报比以往任何时候都更有价值和更有影响力。网络威胁情报正迎来黄金时代。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
