科普貼 | 網路威脅情報(CTI)
目前,信息安全業界普遍認同的一個理念是:僅僅防禦是不夠的,更加需要持續地檢測與響應。而要做到更有效的檢測與更快速的響應,安全情報必不可少。
傳統防禦已經被證明不足以保護公司企業免遭對手越來越多地利用組織的數字陰影發起針對性攻擊。現在,公司企業比以往任何時候都更想弄清到底是誰對他們的資產和業務運營造成了可行威脅。因此,很多公司企業都正將轉向網路威脅情報(CTI)作為增強自身防禦的下一個步驟。
嚴格意義上,威脅情報和漏洞情報是不同的兩種安全情報,不應該將它們混淆。從防禦者的角度來看,獲取漏洞情報是為了知己,而獲取威脅情報是為了知彼。
我們的組織所面臨的網路威脅正在持續增長,一部分原因是因為網路攻擊的背後有著各種各樣不同的動機,另一部分原因是由於網路攻擊本身的複雜性正在不斷地增加。我們已經注意到了在過去的幾年之中,網路攻擊的動機正在不斷擴張,例如敲詐勒索,蓄意破壞,黑客主義思想,數據盜竊和金融詐騙等經常在新聞中出現的事情。
從技術的角度來看,黑客工具包和信息混淆技術在網路犯罪社區是很容易獲得的,而且這些往往是很廉價的。當然了,我們有相關背景的開發人員,他們擁有開發和利用新工具和新漏洞的重要資源。
在大多數的情況下,為了保護我們的組織免受這些網路威脅的侵害,我們需要利用組織外部的知名度以及專業知識來獲取我們所面臨的威脅的相關情報信息。威脅情報在安全行業內算是一個流行用語了,而我們的設備供應商,合作夥伴以及其他專業的安全研究團隊都有自己的資源和材料可供我們獲取和利用。但什麼才是良好的威脅情報數據呢?
理想情況下,我們需要我們所使用的情報信息是有效的,與事件相關的並且是及時的。情報信息可以由很多不同的方式產生和得到,例如通過對惡意軟體進行分析並且監控其數據流量,或者客戶可以直接從解決方案供應商那裡得到部署反饋,這些方式都是獲取情報信息的有效方法。
當我們帶著『欺騙『心理來使用這些情報時,這些觀念在這裡將會非常的有用,因為我們能夠調整我們的檢測技術,採用較高或較低的基於當前所感知到的威脅或敏感活動的情報信息。
如果一個組織在某個特定的行業領域有很高的知名度,並且它們剛好符合我們的需求,那麼它們所生成的威脅情報信息對我們來說將會非常的有用。這就是為什麼CERT團隊,供應商和專業安全公司可以成為特定行業或區域的良好的情報來源。其他的組織,例如RedSky聯盟,它的存在就是為了審查用戶群體,促進各個組織之間的信息共享,同時不會有公開披露相關信息的風險。
1. 你覆蓋的源的種類和大小怎樣?
源的體積和種類是威脅情報提供商最重要的特徵之一。包含了很多源的提供商——百萬級而非數千個單獨域名,將有效減少遺漏威脅的機會。跨網頁和互聯網服務、公共和私有論壇,以及一系列媒體類型(如:網上實時聊天、電子郵件和視頻)的多語種支持也十分重要。為得到最佳覆蓋,你可能要跟多家提供商合作。
2. 你能保證我的情報不會產生誤報嗎?
寬廣的覆蓋範圍必須與警報的準確度相平衡。你要找尋綜合利用高容量和精細化CTI來提升情報準確度的提供商。
3. 事件發生後我多久能收到警報,上下文能回溯到哪兒?
準確度很重要,但如果信息收到得太晚還是會讓情報無關痛癢或毫無可行性可言。你要找的廠商得能夠提供即時警報,還要能訪問可對潛在事件提供有價值線索和早期洞察的歷史資料。
4. 該服務能集成到我的現有服務里嗎?
無論提供的方案有多先進,單一廠商肯定不能滿足你所有的需求。任何提供商都必須能夠展示使用API介面與其他解決方案以及包括金融服務信息共享和分析中心(FS-ISAC)和註冊信息安全專業人員(CISP)在內的更廣泛的共享社區集成的能力。支持像OpenIOC和STIX這樣的網路空間威脅情報共享的標準也很重要,還有與威脅情報平台如ThreatConnect和ThreatQuotient的融合。
5. 這服務為我的公司和供應鏈定製的程度如何?
最有價值的威脅情報是專為你的公司和資產定製的,而不僅僅是適合你的地域和行業的。所以,為了不被大量警報壓得喘不過氣來,應該有某種機制來為警報排個優先順序。同時提供正規反饋流程的提供商可以使用那些信息來進一步根據你的需求對服務進行優化。
對想獲得潛在威脅和攻擊者類型的全面、細緻、相關信息的公司企業而言,CTI是十分關鍵的。但攻擊者永遠不會休息,公司企業也永遠不會停止對更好的威脅防護和風險消減的追求。有CTI作為理解威脅的堅實基礎,你便可以繼續利用網路態勢感知來加強防禦,短期看,可使你預防和減輕有害事件,長期看,你可以隨著威脅的發展變化優化你的威脅防護投資和策略。
推薦閱讀: