本文讲的是 想上威胁情报?先搞明白这五个问题吧,传统防御已经被证明不足以保护公司企业免遭对手越来越多地利用组织的数字阴影发起针对性攻击。现在,公司企业比以往任何时候都更想弄清到底是谁对他们的资产和业务运营造成了可行威胁。因此,很多公司企业都正将转向网络威胁情报(CTI)作为增强自身防御的下一个步骤。但是,CTI到底是什么?
对CTI的定义有很多,所以,对CTI能做到的事也有着各不相同的期待。其中最直接明了的定义来自于《CBEST威胁情报框架》这篇论文:“能为缓解有害事件影响提供相关和足够理解的关于威胁和威胁执行人的信息。”
CTI定义的数量几乎超越了提供CTI服务的新信息安全公司的数量。事实上,福雷斯特研究公司的一份新报告《厂商态势:侦察与监视专业人士转向网络威胁情报提供商寻求帮助》中提到了20家CTI厂商。这一情况凸显了CTI作为安全工具的地位在不断上升,但也揭示了在选择厂商时可能遭遇的迷惑与混乱。
作为安全和风险专业人士,你该怎样穿越这滩浑水选出最适合你的需求的CTI解决方案呢?在安全领域的许多方面,可是没有CTI的万灵药的。
下面5个问题可以帮你在评估市场和你的选项时明智一些:
- 你覆盖的源的种类和大小怎样?
源的体积和种类是威胁情报提供商最重要的特征之一。包含了很多源的提供商——百万级而非数千个单独域名,将有效减少遗漏威胁的机会。跨网页和互联网服务、公共和私有论坛,以及一系列媒体类型(如:网上实时聊天、电子邮件和视频)的多语种支持也十分重要。为得到最佳覆盖,你可能要跟多家提供商合作。
- 你能保证我的情报不会产生误报吗?
宽广的覆盖范围必须与警报的准确度相平衡。你要找寻综合利用高容量和精细化CTI来提升情报准确度的提供商。
- 事件发生后我多久能收到警报,上下文能回溯到哪儿?
准确度很重要,但如果信息收到得太晚还是会让情报无关痛痒或毫无可行性可言。你要找的厂商得能够提供即时警报,还要能访问可对潜在事件提供有价值线索和早期洞察的历史资料。
- 该服务能集成到我的现有服务里吗?
无论提供的方案有多先进,单一厂商肯定不能满足你所有的需求。任何提供商都必须能够展示使用API接口与其他解决方案以及包括金融服务信息共享和分析中心(FS-ISAC)和注册信息安全专业人员(CISP)在内的更广泛的共享社区集成的能力。支持像OpenIOC和STIX这样的网络空间威胁情报共享的标准也很重要,还有与威胁情报平台如ThreatConnect和ThreatQuotient的融合。
- 这服务为我的公司和供应链定制的程度如何?
最有价值的威胁情报是专为你的公司和资产定制的,而不仅仅是适合你的地域和行业的。所以,为了不被大量警报压得喘不过气来,应该有某种机制来为警报排个优先级。同时提供正规反馈流程的提供商可以使用那些信息来进一步根据你的需求对服务进行优化。
对想获得潜在威胁和攻击者类型的全面、细致、相关信息的公司企业而言,CTI是十分关键的。但攻击者永远不会休息,公司企业也永远不会停止对更好的威胁防护和风险消减的追求。有CTI作为理解威胁的坚实基础,你便可以继续利用网络态势感知来加强防御,短期看,可使你预防和减轻有害事件,长期看,你可以随着威胁的发展变化优化你的威胁防护投资和策略。