每位首席信息安全官的夢想都是擁有一艘沒有任何漏洞的船,高級持續性威脅和黑客活動分子永遠無法攻破它。這的確是一種夢想,但我們應當將其變成現實。問題在于,當人們越來越靠近優化威脅情報策略的理念時,他們往往會忽略大局。
宣傳和使用威脅情報只有一個真正的目標:減少行動風險,以保持或提升盈利能力。隨著攻擊方制造數據破壞的新趨勢,受到長期損害的可能性也變得更高。那么,首席安全官應當如何行動?
通過將情報資源集中于高度特定化的商業目標(保持或提升盈利能力),過大的目標可以被縮小到一小點高度有價值的情報。要做到這一點,應當建立更加有效的威脅情報策略。
保持對大局的關注,減少行動威脅,保持盈利能力應當是企業威脅情報策略的基礎。
01. 情報收集,更進一步
收集網絡威脅情報有三個主要方法:
1. 通過截取和分析通訊過程等使用的信號,獲得信號情報(Signals Intelligence,SIGINT);
2. 來源于公開信息的開源情報(Open-source Intelligence,OSINT);在我們討論的這個情景下,它們是使用搜索引擎或專門的爬蟲軟件搜集的互聯網情報;
3. 人工情報(HUMINT),使用威脅源社區中的線人。
當然,應該根據企業的實際情況排布三者的優先級。
02. 建設與否:忍受痛苦并選擇
威脅情報有一個特點:獲取多少也不嫌多。
大多數企業開始進行情報收集時入口很小,他們查找得越多,得到的就越多。一段時間之后,這變成了過于繁重,但又必須完成的任務。這時候就又遇到那個老生常談的問題了:建設還是購買?在單獨進行選擇之前,應當先咨詢與你的用例有關的專家。
03. 獲得更好的上下文
這樣做十分誘人:專注于最新的威脅,與此同時凝視上周獲取的信號,甄別最微小的趨勢。但如果你在細節上迷失,將有可能漏掉更危險的獵物和更持久的威脅。基本上,你的威脅情報必須包括宏觀和微觀的時間段,最大限度地減少遭受嚴重數據泄露的風險。
04. 知道多少并不重要,方法才重要
威脅情報中最為常見的問題并不是收集或處理數據,而是在企業不同部門之間溝通獲取的信息。如果獲得高質量的威脅情報,應急小組、安全行動中心、事件響應、漏洞管理等領域都能夠大幅度進步。如果你在看完這篇文章之后做的唯一一件事就是調查如何在企業內分配情報,你的時間不會白費。
05. 打破知識隔閡
眾所周知,對于威脅情報而言,存在很大的知識隔閡。這個隔閡的大小大約與 C 級高管的規模與能力相當。但這必須改變。
不論如何,你必須清楚知識隔閡并不一定是 C 級高官的問題,而是無法將這些真實存在的網絡威脅轉換成高管能夠理解并據其響應的安全專家的失誤。因此不論是通過面談還是渠道,都應當牢記多與高管進行溝通。詢問他們的需求,以及他們希望如何實現。他們需要一種可以方便理解并消化的信息格式。
06. 行動 vs 策略
有用的威脅情報項目能夠自動處理來自各種源頭的外部攻擊數據(也被稱為入侵指標)。
事件識別只是第一步。第二步是自動化防御控制,阻止未來的事件發生。這一威脅情報的關鍵功能之所以有效,是因為它圍繞計算資源展開。基于行動能力建立的世界級威脅情報方案包括圍繞人才的資源和策略性分析。分析師確定當前和未來針對企業戰略資產的信息安全威脅。
07. 確定趨勢
趨勢的確定可能包括宏觀項目,比如確定企業明年面臨的頂級網絡威脅。宏觀趨勢一般都是從季度或年度視角上作出的。包括確定有可能被對手利用的新工具發布時間的微觀趨勢基本上是以天或周的時間跨度確定的。
08. 內部狩獵
檢測惡意內部人員以及未檢測到的外部攻擊是威脅情報應當定期執行的另一個策略性功能。了解網絡拓部結構和可用的觀測源是先決條件之一。但偉大的獵人應當具有創造性,他們能夠基于規律和來自單個或組合數據集的異常識別發明新的狩獵方法。
09. 不斷地問你自己這個問題
說到底,你想要它有多復雜,威脅情報就能多復雜。永遠有更多需要測試的東西、更多需要檢查的日志文件和更多需要閱讀的研究報告。但在做這些事情的同時,你需要不斷問自己同一個問題:這對幫助企業保持盈利有好處嗎?只要問題的答案是否定的,你就應當將它放下,并選擇新的目標,畢竟總還有更多需要觀測的數據。
京公網安備 11010502049343號