信息來源:E安全
網(wǎng)絡威脅情報(Cyber threat
intelligence簡稱CTI)以及作為其立足根基的安全運營正在更為廣泛的業(yè)務體系中快速增長。最近的一項研究發(fā)現(xiàn)����,93%的受訪者表示他們至少在一定程度上意識到了網(wǎng)絡威脅情報帶來的助益�����。然而��,只有41%的受訪者開始將網(wǎng)絡威脅情報整合至現(xiàn)有安全規(guī)劃當中��,而只有27%完成了全面整合�。盡管這些數(shù)字確實凸顯出情報驅動型安全規(guī)程已經(jīng)獲得良好的發(fā)展趨勢,并被廣泛視為最佳實踐����,但對大多數(shù)企業(yè)而言仍有很長的摸索道路要走。
優(yōu)秀的網(wǎng)絡威脅情報能夠幫助企業(yè)預見�����、應對并解決威脅因素�����。雖然優(yōu)秀的情報當中必然包含大量內(nèi)容��,但企業(yè)絕不能單純依靠內(nèi)容來驅動整個運營體系中的價值實現(xiàn)方式�。企業(yè)管理者需要著眼于團隊定位,并借此取得成功�����。豐富的上下文情報需要配合充分準備及基礎性能力方可最大程度發(fā)揮價值�����。總而言之��,網(wǎng)絡威脅情報并非那種即插即用型產(chǎn)品�。
企業(yè)應該能夠回答以下問題,并以此為起點規(guī)劃網(wǎng)絡威脅情報功能的構建基礎:
1. 相關團隊的任務是什么����?
明確的任務描述能夠準確定位網(wǎng)絡威脅情報團隊的職能角色,有助于溝通團隊目標�,以適當理由為該團隊提供支持與資源,同時提出希望該團隊達成的期望性效果����。
2. 網(wǎng)絡威脅情報應服務于誰?
關鍵性利益相關者及其在企業(yè)�、業(yè)務目標以及網(wǎng)絡威脅層面的特定角色應該得到明確定義。這一定義將成為理解數(shù)據(jù)內(nèi)容的驅動因素����,同時亦可據(jù)此收集意見、分析優(yōu)先次序并將由此產(chǎn)生的情報交付至利益相關者��。從內(nèi)容角度來看�����,我們應當了解如何將信息準確提供給利益相關者。CISO的關注重點與SOC分析師顯然不盡相同——雖然后者的工作會對被交付給前者的具體內(nèi)容產(chǎn)生影響�����。
3.相關團隊的威脅現(xiàn)狀如何����?
為目標團隊的自身取向設定理解基準����,并借此掌握其能力以及所能支持的行動。理解動機與意圖有助于削減風險����,同時支撐一些關鍵性對話,例如預測威脅活動與戰(zhàn)略規(guī)劃��,從而保護�、識別并應對相關活動。
這些問題的答案將幫助大家建立起網(wǎng)絡威脅情報中極為重要的各項基本元素��,具體包括情報要求定義�����、威脅導向型溝通以及確定情報來源。要在組織之內(nèi)實現(xiàn)強大的安全運營與價值交付能力��,我們首先需要基于對現(xiàn)狀的透徹理解�����。沒有這些核心元素����,即使專業(yè)知識、規(guī)程設計以及先進技術全部落實到位�,情報項目仍然無法順利達成使命。
生命周期
在建立起堅實的基礎之后��,企業(yè)必須把重點放在項目的維護與調(diào)整身上——旨在確保計劃能夠落實到位�����、不斷接受評估并在必要時進行更新����。情報項目絕不是那種“一次設置,終身無憂”的方案��。我們需要認真考慮以下兩項因素:
1.威脅態(tài)勢變化……
企業(yè)所面臨的威脅環(huán)境會隨著動機、意圖����、能力以及行動而不斷發(fā)生變化。這一切都會對企業(yè)的風險態(tài)勢造成影響�����,進而左右具體戰(zhàn)術�����、業(yè)務與戰(zhàn)略思路��。部分顯著變化甚至可能給情報項目的任務與目標造成影響�����。
2.企業(yè)自身亦在不斷變化……
企業(yè)自身的狀態(tài)亦在不斷變化����,特別是表現(xiàn)在人員與技術層面�����。技能與技術會過時,然而在應對危機狀況時積累的威脅知識與處理能力則將永遠具有指導意義��。
因此�,我們確立了以下宏觀周期,企業(yè)可以據(jù)此幫助自身維護并推進網(wǎng)絡威脅情報能力��。
? 評估
定期更新您的當前威脅態(tài)勢��,同時評估現(xiàn)有情報能力�����,這將幫助大家更為明確地了解項目變化因素及其影響水平����。舉例來說,更換威脅因素定位方法與工具可能會變更響應優(yōu)先級設置����,譬如優(yōu)先處理曾經(jīng)對您的部門或者特定組織造成過影響的原有惡意軟件家族。
? 發(fā)布與培訓
面向與攻擊戰(zhàn)術����、技術與規(guī)程相關的人員發(fā)布組織性資源,從而幫助其了解與自身特定角色相關的威脅知識�����。更為先進的實踐活動則可測試流程與跨團隊間協(xié)調(diào)能力,特別是威脅情報人員能力�����,從而更加高效地建立起調(diào)查或者響應團隊——這反過來亦有助于發(fā)現(xiàn)現(xiàn)有差距��。
? 整合
我們應當結合上述兩項工作的結果�,綜合評估目前整體情報項目的戰(zhàn)略路線圖,并在必要時加以修改�����。這一路線圖負責指導戰(zhàn)術性舉措����、建立并更新具體流程����,包括實施方式、技術以及相關資源等��。
這一周期應固定下來�����,其具體頻度則取決于您所在組織及其當前狀態(tài)。
