安全动态

论网络威胁情报在企业安全事务中的现实作用

来源:聚铭网络    发布时间:2016-11-20    浏览次数:
 

信息来源:E安全

网络威胁情报(Cyber threat intelligence简称CTI)以及作为其立足根基的安全运营正在更为广泛的业务体系中快速增长。最近的一项研究发现,93%的受访者表示他们至少在一定程度上意识到了网络威胁情报带来的助益。然而,只有41%的受访者开始将网络威胁情报整合至现有安全规划当中,而只有27%完成了全面整合。尽管这些数字确实凸显出情报驱动型安全规程已经获得良好的发展趋势,并被广泛视为最佳实践,但对大多数企业而言仍有很长的摸索道路要走。

论网络威胁情报在企业安全事务中的现实作用 - E安全

优秀的网络威胁情报能够帮助企业预见、应对并解决威胁因素。虽然优秀的情报当中必然包含大量内容,但企业绝不能单纯依靠内容来驱动整个运营体系中的价值实现方式。企业管理者需要着眼于团队定位,并借此取得成功。丰富的上下文情报需要配合充分准备及基础性能力方可最大程度发挥价值。总而言之,网络威胁情报并非那种即插即用型产品。

企业应该能够回答以下问题,并以此为起点规划网络威胁情报功能的构建基础:

1. 相关团队的任务是什么?

明确的任务描述能够准确定位网络威胁情报团队的职能角色,有助于沟通团队目标,以适当理由为该团队提供支持与资源,同时提出希望该团队达成的期望性效果。


2. 网络威胁情报应服务于谁?

关键性利益相关者及其在企业、业务目标以及网络威胁层面的特定角色应该得到明确定义。这一定义将成为理解数据内容的驱动因素,同时亦可据此收集意见、分析优先次序并将由此产生的情报交付至利益相关者。从内容角度来看,我们应当了解如何将信息准确提供给利益相关者。CISO的关注重点与SOC分析师显然不尽相同——虽然后者的工作会对被交付给前者的具体内容产生影响。


3.相关团队的威胁现状如何?

为目标团队的自身取向设定理解基准,并借此掌握其能力以及所能支持的行动。理解动机与意图有助于削减风险,同时支撑一些关键性对话,例如预测威胁活动与战略规划,从而保护、识别并应对相关活动。

这些问题的答案将帮助大家建立起网络威胁情报中极为重要的各项基本元素,具体包括情报要求定义、威胁导向型沟通以及确定情报来源。要在组织之内实现强大的安全运营与价值交付能力,我们首先需要基于对现状的透彻理解。没有这些核心元素,即使专业知识、规程设计以及先进技术全部落实到位,情报项目仍然无法顺利达成使命。

生命周期

在建立起坚实的基础之后,企业必须把重点放在项目的维护与调整身上——旨在确保计划能够落实到位、不断接受评估并在必要时进行更新。情报项目绝不是那种“一次设置,终身无忧”的方案。我们需要认真考虑以下两项因素:

1.威胁态势变化……

企业所面临的威胁环境会随着动机、意图、能力以及行动而不断发生变化。这一切都会对企业的风险态势造成影响,进而左右具体战术、业务与战略思路。部分显著变化甚至可能给情报项目的任务与目标造成影响。

2.企业自身亦在不断变化……

企业自身的状态亦在不断变化,特别是表现在人员与技术层面。技能与技术会过时,然而在应对危机状况时积累的威胁知识与处理能力则将永远具有指导意义。

因此,我们确立了以下宏观周期,企业可以据此帮助自身维护并推进网络威胁情报能力。

Ø  评估

定期更新您的当前威胁态势,同时评估现有情报能力,这将帮助大家更为明确地了解项目变化因素及其影响水平。举例来说,更换威胁因素定位方法与工具可能会变更响应优先级设置,譬如优先处理曾经对您的部门或者特定组织造成过影响的原有恶意软件家族。

Ø  发布与培训

面向与攻击战术、技术与规程相关的人员发布组织性资源,从而帮助其了解与自身特定角色相关的威胁知识。更为先进的实践活动则可测试流程与跨团队间协调能力,特别是威胁情报人员能力,从而更加高效地建立起调查或者响应团队——这反过来亦有助于发现现有差距。

Ø  整合

我们应当结合上述两项工作的结果,综合评估目前整体情报项目的战略路线图,并在必要时加以修改。这一路线图负责指导战术性举措、建立并更新具体流程,包括实施方式、技术以及相关资源等。

这一周期应固定下来,其具体频度则取决于您所在组织及其当前状态。

 
 

上一篇:互联网“最强大脑”在乌镇看到的远方

下一篇:准能公司下一代防火墙Stonesoft集成云安全技术