随着全球经济波动和不确定性的增加,网络安全预算削减无处不在。根据研究公司SANS最近发布的《不确定时期的威胁搜寻》报告,11%的企业组织的威胁狩猎和情报项目受到了此次疫情的影响,12%的企业组织已经完全停止了他们的威胁狩猎项目。随着勒索软件攻击的增加和商业电子邮件妥协(BEC)诈骗的增加,不断缩减的安全预算加剧了企业安全团队的困境。对于资金少、人少的安全团队来说,“好妇人不能无米之炊”并不是放弃威胁情报工作的理由,因为威胁情报正在成为几乎所有网络安全栈技术的关键赋能者。下面,我们汇总了行业专家的一系列建议,以帮助缺乏安全预算的组织以20%的预算实现80%的威胁情报工作。用好开源情报资源目前,安全厂商的产品能力和开源社区项目的成熟度都在不断提高。将免费和开源技术与分析师或研究人员的专业知识相结合,为组织提供了一个可行的、低成本的威胁情报团队替代方案。利用开源资源必须强调可行性,因为有许多免费和开源的工具不是那么容易使用或集成性差,并且可能需要团队中更熟练的成员专门开发一些“操作胶水”。考虑到这一点,如果组织需要在有限的预算内开展威胁情报工作,请遵循以下几条准则:与领导充分沟通并就资源短缺问题达成一致。确保高层领导意识到企业工具将实现更有效的分析,并且需要人力来填补一些软件即服务(SaaS)安全产品和恶意软件沙箱的功能空白。制定并实施更精细的安全工作计划。检查您的组织围绕威胁情报生命周期的目标,并确定实现这些目标所需的工具和数据。充分利用企业内部资源获取威胁情报数据。如果企业没有外部商业智能来源,它可以从自己的端点提取威胁情报数据,并将其输入到内部运行的威胁情报分析工具中。优化安全团队的能力组织威胁情报团队通常由来自不同背景的人组成。该团队所需的技能包括网络基础知识、记者的研究和写作方法、程序员的自动化技能以及恶意软件分析师的逆向工程技能等。组织的威胁情报团队中很少有人可以做到以上所有,因此在分配具体任务时,要考虑每个团队成员的优势。所有工作中最困难的是操作一个称为威胁情报平台(TIP)的组织知识管理系统。组织可以在一定程度上摆脱电子表格,但最终会有太多数据需要管理,因此需要专门的工具。例如,当使用MISP、Hive或OpenCTI等具有许多活动部件的开源工具时,组织需要具有基础设施管理和运营经验的团队成员。如果团队中没有人具备这一技能,组织可以加入社区MISP实例或其他免费开放的威胁共享平台,这些平台通常提供一些关键的内容丰富功能。开源工具对于那些想要获得编程和轻量级基础设施经验的人来说是一个不错的选择,因为它们相对容易设置,难的部分是如何将丰富的内容/工具关联到企业TIP平台中,这需要找到合适的人,利用专业知识,并使用正确的工具来完成工作。目前,有多种方法可以做到这一点,具体取决于工具,像IntelOwl和Cortex这样的丰富工具都会自动为几个开源TIP提供功能。但是,在部署这些更重要的丰富工具时,需要牢记以下几点:组织需要更多的人来寻找威胁,并且管理基础架构很快将成为一项全职工作,因此请尝试拥有这些工具的所有权Grantoneanalyst并在对该工具有一定了解的情况下保留两个备份。在开发不属于这些开源项目领域的其他粘合任务时,请尝试在内部编写之前准备好预先开发的解决方案。通常,企业会找到一个足以快速配置工作流并节省工程时间的解决方案。企业组织威胁情报团队可以通过基础设施管理工具(如Terraform)和配置管理工具(如Ansible)实现程序编写和部署的自动化。这样,企业组织就有了维护基础设施的标准步骤。回到经典。自1970年以来,人们一直在通过命令行快速解析数据,使用可以在几分钟内解析TB级数据的小型一次性C程序;可以使用“awk/sed”、“sort”和“uniq”工作流代替许多用于提取入侵指标、解析日志和munges数据的奇特工具;熟练的UNIX管理员知道如何加快数据处理等。总的来说,有许多不同的开源工具可供企业威胁情报团队使用,这些工??具接近企业级产品。虽然这项工作是劳动密集型和耗时的,尤其是对于专业分析师而言,但这是在预算范围内维持威胁情报团队有效性的必要成本。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
