网安 - 专业的网络安全产业、社区、知识平台

网络威胁情报团队的新使命

VSole2021-08-26 16:48:45

网络威胁情报(CTI)是当下发展最快的网络安全细分领域之一,不仅技术和产品在不断更新和演进,方法论和理念也在迅速发展。

过去几年,无论安全组织是否有专职人员,CTI一直被视为安全组织内的独立支柱,它生成关于组织的各种威胁的报告。如今,CTI已经由一个独立支柱逐渐进化为中心枢纽,为安全组织中的所有职能提供威胁相关的知识和优先级信息。值得注意的是:这种变化需要思维方式和方法的转变。

CTI概念的转变

CISO 的传统模型及其在安全组织中的不同职能

威胁情报方法的最新发展正在颠覆传统的概念。威胁情报不再是一个独立的支柱,而是应该在每个安全设备、流程和决策事件中吸收和考虑的东西。因此,威胁情报从业者的任务不再是简单地创建“威胁报告”,而是确保安全组织的每个部分都有效地利用威胁情报作为其日常检测、响应任务的一部分,并进行全面的风险管理。

CTI工作流程的新趋势

自动化——由于缺乏训练有素的人力资源,组织正在其安全运营中实施更多的自动化。在SOAR技术的支持下,机器对机器的通信变得更加容易和主流。能够自动的从组织的CTI工具中提取数据,并不断将其输入各种安全设备和安全流程,而无需人工干预。简单来说,就是支持将CTI无缝、近实时地集成到各种安全设备,以及自动化决策过程中。

扩大对威胁情报的访问——威胁情报供应商在使威胁情报民主化并使各种安全从业者易于在CTI解决方案上投入更多资金。例如,用于安全信息和事件管理 (SIEM) 的本机应用程序,助力其实现将威胁数据与内部日志,或将威胁上下文和风险分析注入浏览器的浏览器扩展中。以前,组织有大量威胁数据需要人工审核并采取行动;如今,组织则拥有无缝集成到安全设备中的可操作洞察能力。

当今 CISO 的新模式以及威胁情报在支持其组织中的不同职能方面的作用

CTI从业者的新使命

CTI 从业者的新使命是针对安全组织中的每个职能定制威胁情报,并使其成为该职能运营不可或缺的一部分。同时,他们还要学习新的软技能,以确保能够与安全组织中的其他职能部门协作。CTI从业者新扩展的思维方式和技能组合将包括:

  • 与各种利益相关者建立密切的关系——如果内部客户不知道如何使用威胁报告,那么发送威胁报告是不够的。因此,为了实现CTI的使命,与各个利益相关者建立密切的关系非常重要,这样CTI专家才能更好地了解他们的痛点和需求,并为他们量身定制最佳解决方案。
  • 对公司战略和运营有扎实的了解——CTI计划成功的关键是相关性;如果没有相关性,就会留下大量无法操作的威胁数据。CTI从业者只有在对公司业务、组织结构图和战略清晰的情况下,才能实现相关的CTI。这种清晰性使CTI从业者能够意识到与每个功能相关的智能,并根据每个功能的需求进行定制。
  • 对公司技术堆栈的深入理解——CTI 角色不仅需要对业务的理解,还需要对IT基础设施和架构有深入的技术理解。这些知识将使CTI专家能够针对强加于公司技术堆栈的风险定制情报,并将支持制定将内部日志与外部威胁情报相关联的计划。

以下是威胁情报团队需要实施的几个流程示例,以便针对其他安全功能定制威胁情报,并使其成为其运营不可或缺的一部分:

  • 第三方违规监控——了解最薄弱的环节可能是组织的第三方,因此及时检测第三方违规变得越来越重要。CTI 监控支持及早发现这些案例,并由IR团队跟进,将风险降至最低。这方面的一个例子是监控勒索软件团伙的泄漏站点,以查找属于组织的从任何第三方泄漏的任何数据。
  • SOC 事件分类——安全运营中心(SOC)的主要任务之一是识别网络事件并快速决定缓解步骤。通过威胁情报信息对每个事件的指标(例如域和IP地址)进行分类,可以极大地改善这一点。威胁情报是对这些事件进行有效和高效分类的关键。这可以通过威胁情报浏览器扩展轻松实现,该扩展在SIEM中浏览时对IOC进行分类。
  • 漏洞优先级流程——传统的漏洞优先级流程依赖于CVSS分数和易受攻击资产的严重程度。这将优先重点放在漏洞利用的影响上,而很少关注这些漏洞被利用的可能性。来自暗网的黑客聊天和安全研究人员的出版物有助于更好地了解威胁行为者实际上利用某个漏洞发起网络攻击的可能性。此概率因素是漏洞优先级排序过程中必不可少的缺失部分。
  • 趋势分析——CTI从业者可以访问各种来源,使他们能够监控网络安全领域、其特定行业或公司持有的数据中的趋势。这应该提供给领导层(不仅是安全领导层),以便对现有风险做出明智、敏捷的决策。
  • 威胁情报和网络安全知识共享——与“传统”情报一样,知识共享也可以成为网络情报的主要力量倍增器。威胁情报团队的目标应该是尽可能多地与其他安全团队,尤其是他们工作的行业,建立尽可能多的外部合作。这些信息可以让组织团队和CISO从业者更好地了解与公司相关的威胁形势。

虽然不断发展的CTI模型使威胁情报实施变得更加复杂,因为包括了与不同功能的协作,但这种进化也使威胁情报比以往任何时候都更有价值和影响更大。网络威胁情报正在迎来黄金时代。

威胁情报cti
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络威胁情报团队的新使命
2021-08-26 16:48:45
网络威胁情报(CTI)是当下发展最快的网络安全细分领域之一,不仅技术和产品在不断更新和演进,方法论和理念也在迅速发展。 过去几年,无论安全组织是否有专职人员,CTI一直被视为安全组织内的独立支柱,它生成关于组织的各种威胁的报告。如今,CTI已经由一个独立支柱逐渐进化为中心枢纽,为安全组织中的所有职能提供威胁相关的知识和优先级信息。值得注意的是:这种变化需要思维方式和方法的转变。
网络威胁情报市场有望迎来快速增长
2023-06-29 16:05:04
网络安全专业人员对成熟网络威胁情报计划的特性各有其观点。ESG的研究表明,成熟网络威胁情报计划具有几大属性,包括向广大受众传播报告,分析海量威胁数据,以及CTI与许多安全技术的集成。30%的企业将优先考虑加强内部团队间威胁情报报告共享。27%的企业将重点投资数字风险保护服务。DRP服务监测在线数据泄露、品牌声誉、攻击面漏洞,以及深网/暗网上围绕攻击计划的聊天内容等内容来提供这种可见性。?
威胁情报的下一步:数字风险保护
2023-04-26 10:10:43
数字风险保护(DRP)在威胁情报计划中的重要性不断提升。
多年过去,网络威胁情报计划仍步履蹒跚
2023-04-15 22:09:54
五年前问及CISO对其网络威胁情报计划的态度,收到的回复俨然南北两极。尽管预算增长、战略主动,很多CTI计划仍然举步维艰。ESG的研究表明: 85%的安全专业人员认为其CTI计划需要过多手动流程。82%的安全专业人员认同CTI计划常被当成学术活动。72%的安全专业人员认为很难梳理CTI噪声并找到与自家企业相关的内容。63%的安全专业人员表示,自家企业没有合适的人手或技能来管理恰当的CTI计划。
利用威胁情报报告生成可用攻击子图
2021-11-11 13:42:36
当前企业环境面临的攻击越来越趋于隐蔽、长期性,为了更好的针对这些攻击进行有效的检测、溯源和响应,企业通常会部署大量的检测设备。安全运营人员需要根据这些检测设备的日志和告警来对攻击事件进行检测与溯源。然而攻击技术的发展通常领先于检测设备检测能力。当新攻击技术或是新漏洞被发现时,通常是以报告的形式公开,针对这些新攻击的检测能力往往很难快速的部署到检测设备中。
成熟网络威胁情报计划的几个特征
2023-05-31 13:56:50
在企业CTI计划问题上,二八定律同样适用。成熟网络威胁情报的特征考虑到企业威胁情报计划的现状,受访人员被问及成熟CTI计划的几个特征。最后,威胁情报消费者有必要向CTI团队提供反馈。成熟CTI计划收集、处理和分析适当的数据,而未必是最多的数据。23%的安全专业人员认为,成熟CTI计划必须包含持续测试安全控制措施能否抵御新型威胁和对手的能力。这是个类似前面提到的CTI需与安全控制措施集成的战术要求。
Mandiant网络威胁情报分析师核心能力框架
2022-07-04 07:18:13
截止日期到2022年5月。计算指标是从安全事件中提取的数据中获得的,比如哈希值和正则表达式。调查型思维不同于批判性思维,它将研究和分析结合起来,识别和解释认知和逻辑偏见并使用结构化分析技术来克服它们。这包括结构化威胁信息
有效威胁追踪六步走:保护关键资产和对抗网络犯罪
2023-07-05 09:23:38
Cybersecurity Ventures估计,到2025年,网络犯罪将给全球经济造成10.5万亿美元的损失。如果换算成某个国家的GDP,网络犯罪造成的全球经济损失相当于世界第三大经济体,仅仅落后于美国和中国。
网络安全的下一个焦点:横向创新
2022-07-22 10:19:25
横向创新或跨类别产品整合是网络安全从“孤岛功能”向可互操作的安全架构演变所缺失的重要环节。
2023年企业安全运营团队需面对的7道坎
2023-01-31 11:15:43
研究人员认为,入侵者通过攻击电信运营商,可以进一步威胁到他们的客户。在2023年,卡巴斯基预计通过电信运营商和大型科技企业进行的供应链攻击数量将会增加,这些供应商还通常会提供额外的托管服务。近年来,卡巴斯基观察到针对这一领域的攻击在稳步增长,2022年的统计数据证实了这一趋势,大众媒体也是攻击者的主要目标之一。
VSole
网络安全专家