傳統防御已經被證明不足以保護公司企業免遭對手越來越多地利用組織的數字陰影發起針對性攻擊。現在,公司企業比以往任何時候都更想弄清到底是誰對他們的資產和業務運營造成了可行威脅。因此,很多公司企業都正將轉向網絡威脅情報(CTI)作為增強自身防御的下一個步驟。但是,CTI到底是什么?
對CTI的定義有很多,所以,對CTI能做到的事也有著各不相同的期待。其中最直接明了的定義來自于《CBEST威脅情報框架》這篇論文:“能為緩解有害事件影響提供相關和足夠理解的關于威脅和威脅執行人的信息。”
CTI定義的數量幾乎超越了提供CTI服務的新信息安全公司的數量。事實上,福雷斯特研究公司的一份新報告《廠商態勢:偵察與監視專業人士轉向網絡威脅情報提供商尋求幫助》中提到了20家CTI廠商。這一情況凸顯了CTI作為安全工具的地位在不斷上升,但也揭示了在選擇廠商時可能遭遇的迷惑與混亂。
作為安全和風險專業人士,你該怎樣穿越這灘渾水選出最適合你的需求的CTI解決方案呢?在安全領域的許多方面,可是沒有CTI的萬靈藥的。
下面5個問題可以幫你在評估市場和你的選項時明智一些:
1. 你覆蓋的源的種類和大小怎樣?
源的體積和種類是威脅情報提供商最重要的特征之一。包含了很多源的提供商——百萬級而非數千個單獨域名,將有效減少遺漏威脅的機會。跨網頁和互聯網服務、公共和私有論壇,以及一系列媒體類型(如:網上實時聊天、電子郵件和視頻)的多語種支持也十分重要。為得到最佳覆蓋,你可能要跟多家提供商合作。
2. 你能保證我的情報不會產生誤報嗎?
寬廣的覆蓋范圍必須與警報的準確度相平衡。你要找尋綜合利用高容量和精細化CTI來提升情報準確度的提供商。
3. 事件發生后我多久能收到警報,上下文能回溯到哪兒?
準確度很重要,但如果信息收到得太晚還是會讓情報無關痛癢或毫無可行性可言。你要找的廠商得能夠提供即時警報,還要能訪問可對潛在事件提供有價值線索和早期洞察的歷史資料。
4. 該服務能集成到我的現有服務里嗎?
無論提供的方案有多先進,單一廠商肯定不能滿足你所有的需求。任何提供商都必須能夠展示使用API接口與其他解決方案以及包括金融服務信息共享和分析中心(FS-ISAC)和注冊信息安全專業人員(CISP)在內的更廣泛的共享社區集成的能力。支持像OpenIOC和STIX這樣的網絡空間威脅情報共享的標準也很重要,還有與威脅情報平臺如ThreatConnect和ThreatQuotient的融合。
5. 這服務為我的公司和供應鏈定制的程度如何?
最有價值的威脅情報是專為你的公司和資產定制的,而不僅僅是適合你的地域和行業的。所以,為了不被大量警報壓得喘不過氣來,應該有某種機制來為警報排個優先級。同時提供正規反饋流程的提供商可以使用那些信息來進一步根據你的需求對服務進行優化。
對想獲得潛在威脅和攻擊者類型的全面、細致、相關信息的公司企業而言,CTI是十分關鍵的。但攻擊者永遠不會休息,公司企業也永遠不會停止對更好的威脅防護和風險消減的追求。有CTI作為理解威脅的堅實基礎,你便可以繼續利用網絡態勢感知來加強防御,短期看,可使你預防和減輕有害事件,長期看,你可以隨著威脅的發展變化優化你的威脅防護投資和策略。
京公網安備 11010502049343號