安全動(dòng)態(tài)

論網(wǎng)絡(luò)威脅情報(bào)在企業(yè)安全事務(wù)中的現(xiàn)實(shí)作用

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-11-20    瀏覽次數(shù):
 

信息來源:E安全

網(wǎng)絡(luò)威脅情報(bào)(Cyber threat intelligence簡(jiǎn)稱CTI)以及作為其立足根基的安全運(yùn)營(yíng)正在更為廣泛的業(yè)務(wù)體系中快速增長(zhǎng)。最近的一項(xiàng)研究發(fā)現(xiàn),93%的受訪者表示他們至少在一定程度上意識(shí)到了網(wǎng)絡(luò)威脅情報(bào)帶來的助益。然而,只有41%的受訪者開始將網(wǎng)絡(luò)威脅情報(bào)整合至現(xiàn)有安全規(guī)劃當(dāng)中,而只有27%完成了全面整合。盡管這些數(shù)字確實(shí)凸顯出情報(bào)驅(qū)動(dòng)型安全規(guī)程已經(jīng)獲得良好的發(fā)展趨勢(shì),并被廣泛視為最佳實(shí)踐,但對(duì)大多數(shù)企業(yè)而言仍有很長(zhǎng)的摸索道路要走。

論網(wǎng)絡(luò)威脅情報(bào)在企業(yè)安全事務(wù)中的現(xiàn)實(shí)作用 - E安全

優(yōu)秀的網(wǎng)絡(luò)威脅情報(bào)能夠幫助企業(yè)預(yù)見、應(yīng)對(duì)并解決威脅因素。雖然優(yōu)秀的情報(bào)當(dāng)中必然包含大量?jī)?nèi)容,但企業(yè)絕不能單純依靠?jī)?nèi)容來驅(qū)動(dòng)整個(gè)運(yùn)營(yíng)體系中的價(jià)值實(shí)現(xiàn)方式。企業(yè)管理者需要著眼于團(tuán)隊(duì)定位,并借此取得成功。豐富的上下文情報(bào)需要配合充分準(zhǔn)備及基礎(chǔ)性能力方可最大程度發(fā)揮價(jià)值??偠灾?,網(wǎng)絡(luò)威脅情報(bào)并非那種即插即用型產(chǎn)品。

企業(yè)應(yīng)該能夠回答以下問題,并以此為起點(diǎn)規(guī)劃網(wǎng)絡(luò)威脅情報(bào)功能的構(gòu)建基礎(chǔ):

1. 相關(guān)團(tuán)隊(duì)的任務(wù)是什么?

明確的任務(wù)描述能夠準(zhǔn)確定位網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)的職能角色,有助于溝通團(tuán)隊(duì)目標(biāo),以適當(dāng)理由為該團(tuán)隊(duì)提供支持與資源,同時(shí)提出希望該團(tuán)隊(duì)達(dá)成的期望性效果。


2. 網(wǎng)絡(luò)威脅情報(bào)應(yīng)服務(wù)于誰?

關(guān)鍵性利益相關(guān)者及其在企業(yè)、業(yè)務(wù)目標(biāo)以及網(wǎng)絡(luò)威脅層面的特定角色應(yīng)該得到明確定義。這一定義將成為理解數(shù)據(jù)內(nèi)容的驅(qū)動(dòng)因素,同時(shí)亦可據(jù)此收集意見、分析優(yōu)先次序并將由此產(chǎn)生的情報(bào)交付至利益相關(guān)者。從內(nèi)容角度來看,我們應(yīng)當(dāng)了解如何將信息準(zhǔn)確提供給利益相關(guān)者。CISO的關(guān)注重點(diǎn)與SOC分析師顯然不盡相同——雖然后者的工作會(huì)對(duì)被交付給前者的具體內(nèi)容產(chǎn)生影響。


3.相關(guān)團(tuán)隊(duì)的威脅現(xiàn)狀如何?

為目標(biāo)團(tuán)隊(duì)的自身取向設(shè)定理解基準(zhǔn),并借此掌握其能力以及所能支持的行動(dòng)。理解動(dòng)機(jī)與意圖有助于削減風(fēng)險(xiǎn),同時(shí)支撐一些關(guān)鍵性對(duì)話,例如預(yù)測(cè)威脅活動(dòng)與戰(zhàn)略規(guī)劃,從而保護(hù)、識(shí)別并應(yīng)對(duì)相關(guān)活動(dòng)。

這些問題的答案將幫助大家建立起網(wǎng)絡(luò)威脅情報(bào)中極為重要的各項(xiàng)基本元素,具體包括情報(bào)要求定義、威脅導(dǎo)向型溝通以及確定情報(bào)來源。要在組織之內(nèi)實(shí)現(xiàn)強(qiáng)大的安全運(yùn)營(yíng)與價(jià)值交付能力,我們首先需要基于對(duì)現(xiàn)狀的透徹理解。沒有這些核心元素,即使專業(yè)知識(shí)、規(guī)程設(shè)計(jì)以及先進(jìn)技術(shù)全部落實(shí)到位,情報(bào)項(xiàng)目仍然無法順利達(dá)成使命。

生命周期

在建立起堅(jiān)實(shí)的基礎(chǔ)之后,企業(yè)必須把重點(diǎn)放在項(xiàng)目的維護(hù)與調(diào)整身上——旨在確保計(jì)劃能夠落實(shí)到位、不斷接受評(píng)估并在必要時(shí)進(jìn)行更新。情報(bào)項(xiàng)目絕不是那種“一次設(shè)置,終身無憂”的方案。我們需要認(rèn)真考慮以下兩項(xiàng)因素:

1.威脅態(tài)勢(shì)變化……

企業(yè)所面臨的威脅環(huán)境會(huì)隨著動(dòng)機(jī)、意圖、能力以及行動(dòng)而不斷發(fā)生變化。這一切都會(huì)對(duì)企業(yè)的風(fēng)險(xiǎn)態(tài)勢(shì)造成影響,進(jìn)而左右具體戰(zhàn)術(shù)、業(yè)務(wù)與戰(zhàn)略思路。部分顯著變化甚至可能給情報(bào)項(xiàng)目的任務(wù)與目標(biāo)造成影響。

2.企業(yè)自身亦在不斷變化……

企業(yè)自身的狀態(tài)亦在不斷變化,特別是表現(xiàn)在人員與技術(shù)層面。技能與技術(shù)會(huì)過時(shí),然而在應(yīng)對(duì)危機(jī)狀況時(shí)積累的威脅知識(shí)與處理能力則將永遠(yuǎn)具有指導(dǎo)意義。

因此,我們確立了以下宏觀周期,企業(yè)可以據(jù)此幫助自身維護(hù)并推進(jìn)網(wǎng)絡(luò)威脅情報(bào)能力。

?  評(píng)估

定期更新您的當(dāng)前威脅態(tài)勢(shì),同時(shí)評(píng)估現(xiàn)有情報(bào)能力,這將幫助大家更為明確地了解項(xiàng)目變化因素及其影響水平。舉例來說,更換威脅因素定位方法與工具可能會(huì)變更響應(yīng)優(yōu)先級(jí)設(shè)置,譬如優(yōu)先處理曾經(jīng)對(duì)您的部門或者特定組織造成過影響的原有惡意軟件家族。

?  發(fā)布與培訓(xùn)

面向與攻擊戰(zhàn)術(shù)、技術(shù)與規(guī)程相關(guān)的人員發(fā)布組織性資源,從而幫助其了解與自身特定角色相關(guān)的威脅知識(shí)。更為先進(jìn)的實(shí)踐活動(dòng)則可測(cè)試流程與跨團(tuán)隊(duì)間協(xié)調(diào)能力,特別是威脅情報(bào)人員能力,從而更加高效地建立起調(diào)查或者響應(yīng)團(tuán)隊(duì)——這反過來亦有助于發(fā)現(xiàn)現(xiàn)有差距。

?  整合

我們應(yīng)當(dāng)結(jié)合上述兩項(xiàng)工作的結(jié)果,綜合評(píng)估目前整體情報(bào)項(xiàng)目的戰(zhàn)略路線圖,并在必要時(shí)加以修改。這一路線圖負(fù)責(zé)指導(dǎo)戰(zhàn)術(shù)性舉措、建立并更新具體流程,包括實(shí)施方式、技術(shù)以及相關(guān)資源等。

這一周期應(yīng)固定下來,其具體頻度則取決于您所在組織及其當(dāng)前狀態(tài)。

 
 

上一篇:互聯(lián)網(wǎng)“最強(qiáng)大腦”在烏鎮(zhèn)看到的遠(yuǎn)方

下一篇:準(zhǔn)能公司下一代防火墻Stonesoft集成云安全技術(shù)