现在威胁和攻击者正在迅速演变,大多数企业都无法赶上它们的步伐。新的复杂的零日漏洞也在不断涌现,并被攻击者利用来入侵企业系统。与此同时,聪明的攻击者可以隐藏在企业系统长达数月甚至数年,逐渐窃取企业有价值的数据。
对于试图部署和管理安全控制来阻止高级攻击的企业安全团队而言,威胁情报可以让他们事半功倍。添加威胁情报到现有的信息安全计划可以加强威胁评估,并提供更多的关键数据来显示哪些安全控制可以部署在企业环境中以阻止最新的攻击。
在本文中,我们将探讨什么是威胁情报,并讨论如何将威胁情报整合到企业信息安全计划中。
威胁情报的历史和现状
企业或服务供应商对威胁情报的定义各有不同。一些人将威胁情报定义为当攻击发生时发现攻击,而其他人则将其定义为威胁制造者在攻击中使用的技术。一般来说,威胁情报是指企业从各种来源收集和分析关于最新威胁媒介的信息,然后利用这些信息来抵御攻击。
信息安全领域的很多专业人士在老派攻击时期开始了他们的职业生涯,当时电子邮件列表(例如Bugtraq)、电子杂志(例如Phrack)和互联网都在快速普及。那个时候,人们使用这些相对简单的来源作为威胁情报,但即便如此,当时的人们仍然知道和了解很多不同领域的攻击和研究的最新状态。相比之下,这在今天是不可能的事情,即使是最专业的安全专家也不可能知道不断被发现的各种新威胁。
最近,企业尝试利用IT安全风险管理技术来更好地优化安全控制,以及调整信息安全计划,但这些方法并没有足够完善,来有效地管理风险。添加新方法(例如威胁情报)来帮助优化安全控制可以帮助企业更快地适应最新攻击,特别是更快地识别它们以及提高事件响应速度。
那么,这些“情报”从何而来?企业可以投资大量资源来打造自己的研究人员和分析师团队,从头开始创建一个威胁情报计划,但大多数企业没有足够的资金这样做。另一种选择是订阅安全供应商提供的威胁情报服务。每个供应商都有自己的特色,但很多供应商试图强调突出其产品组合优势的威胁情报,因此企业需要考虑采用混合和综合服务。第三种方法是加入信息共享和分析中心(ISAC),这种方法正在逐渐流行,这种方法是指大家分享特定行业的威胁数据,然后整合到本地分析和工具中。
整合威胁情报
在选择威胁情报来源后,企业必须想办法将威胁情报整合到信息安全计划中。标准化(通常是XML)的威胁情报资源和信息流可以被整合到各种安全设备中,例如,已知的恶意IP地址可以输入到防火墙并进行阻止,而已知的恶意域名可以被DNS阻止,恶意下载的文件可以被网络监控工具识别,或者包括在系统管理工具中来识别特定文件或工具。你还可以配置SIEM系统来整合威胁情报资源以识别受感染主机。后续调查的额外威胁数据也可以用于进一步分析不同的系统,以及与其他企业共享的系统,使得信息能够投入使用。
威胁情报的一大卖点是企业可以利用这些信息在攻击启动之前就抵御攻击。通过监测威胁情报中是否存在针对特定软件、系统或行业的攻击,企业可以确定其是否在使用易受攻击的软件或系统,然后在攻击发生前部署缓解措施。例如,如果攻击者瞄准了使用漏洞版本WordPress的Web服务器,试图将其作为攻击内部网络的支点,企业可以查找易受攻击的WordPress安装,并部署缓解措施,甚至更新到最新版本来阻止这种攻击。在大型企业中,针对企业网络中某个区域的攻击可以用于发现威胁数据,而这些威胁数据可以用于调查对整个网络的攻击。
收集和管理内部威胁情报似乎是合理的,但为了有效利用很多其他企业的数据来执行这种工作,企业最好转向第三方服务供应商。服务供应商可以对入站智能信息进行验证和数据整理,这样,企业只需要简单地导入数据到内部工具,从而专注于阻止和检测攻击。
总结
为了阻止老练的攻击者,企业信息安全计划需要足够的灵活性,并添加新方法来提高决策过程。添加威胁情报到信息安全计划,无论是通过内部部署还是从服务供应商,都可以帮助企业优化安全活动,并专注于最有可能阻止攻击的领域。随着威胁变得越来越复杂和有针对性,企业应该抓住一切可以利用的机会来更多地了解用来对付它们的技术,并运用这些知识来建立一个更有效的安全计划