在本文中,专家Ed Tittel探讨了评估威胁情报服务的关键标准,以帮助企业选择满足其需求的最佳服务。
在企业确定威胁情报服务候选产品名单后,下一步工作是选择最满足其需求的服务。由于威胁情报服务市场仍然相对较新,详细对比服务细节来了解服务提供的内容是一个挑战。
例如,有些服务可能有三种水平的标准文件格式数据源,可用于不同制造商的各种安全设备,而另一种威胁情报服务则提供构建在其他服务之上不同层次的服务—基础服务是数据服务订阅,也需要使用专有安全设备。同时,还有一种类型的服务提供标准格式的数据,并有机会加入可信的威胁情报客户社区,在那里分享情报、经验和见解,而没有公开泄露安全漏洞或损害其在现有或潜在客户间声誉的风险。
同时,无论服务提供商方面在何种程度提供分析、过滤和一般清理服务,企业还是需要自己花时间和一定的技能来处理威胁情报。大多数威胁情报服务都是基于这样的假设,即客户至少有一名安全人员负责规划和部署主动安全措施。事实上,很多企业客户有安全运营中心。这种技能要求阻碍着大多数小型企业和很多中型企业的部署,因为他们没有这样的人力资源投入到这样的工作。
但是,高知名度的小型企业(可能因其政治或社会观点而受到关注)可能需要寻求预算来购买威胁情报服务。现在,攻击的数量和复杂度仍在不断上升,并且,与较大型企业相比,小型企业更容易受到攻击,因为几乎所有公司都有吸引犯罪社区的宝贵信息。
威胁情报服务的评估标准
Forrester首席分析师Rick Holland建议,在评估服务之前,企业应完全明白自己的使命和业务要求,以及情报要求。然后,在评估潜在供应商时,确定每个供应商的情报要求是否符合企业的要求。
下面是研究和对比威胁情报服务时需要考虑的关键评估因素:
数据流
因为数据流是服务提供商提供的主要产品,企业应尽可能多地了解每个供应商的数据流特征和数据来源:
• 多少数据流是可用的,以及它们的侧重点是什么?数据流可能涵盖IP/域URL、声誉、安全风险、漏洞等。
• 服务提供商使用什么平台来处理数据?
• 数据流的文件格式是什么?格式通常是CSV、XML和类似标准格式。有些服务提供商提供应用编程接口,让客户可以通过网络服务拉取数据服务。
• 企业可以从多少不同的数据源获取数据?
• 哪些数据源?在客户要求下,大多数供应商愿意披露他们的威胁情报数据来源,有些供应商不能或者不会这样做,因为这是机密信息。
设备
哪些设备可以接收这些数据流?例如,很多企业已经投资于安全和信息事件管理和/或入侵防御系统设备。企业应确定这些数据流是否可用于现有设备--这可以帮助降低成本,或者服务提供商的服务是否绑定到其自己的设备。
警报和报告
服务提供商是否提供实时警报作为基础服务或最低水平订阅服务的部分,或者该功能需要更高价格的订阅?报告或总结发布的频率如何?是否是针对专门行业?
报告对安全人员非常有用,特别是当它们针对企业的行业,并包含相关恶意软件、新兴威胁、威胁执行者及其动机等信息时。报告总结应该包含在发送给高管的状态更新中,以及安全意识培训中,让每个人都获取这些信息。
价格
通常情况下,客户购买威胁情报来订阅一个或多个数据流—一年、两年和三年增量。服务提供商可能基于用户数量提供分级定价,并随着购买数量的增加提供优惠折扣。
例如,服务提供商可能提供相同的数据流,而基于用户数量提供不同定价,例如1到2500名用户、2501到10000名用户等。每个提供商的数据流订阅价格各不相同,但都在每月1500到10000的范围内,这取决于订阅的数据流数量。
有些服务需要客户在订阅威胁情报数据流时购买他们的安全设备,这可能给总成本增加数千美元。还有些威胁情报服务需要客户订阅两种不同服务来获取完整信息,这类似于企业运行主要防病毒/反间谍软件套件,偶尔使用第二个产品或服务扫描系统。
服务提供商的支持水平
在威胁情报行业服务提供商的支持很像人寿保险,你永远不想使用它,但这非常重要。技术支持不仅可以解决如何整合数据流到安全设备以及各指标的意思等问题,还应该可以辅助事故响应、打击恶意网站等。
在比较威胁情报服务时,企业应研究以下问题的答案:
• 提供商是否提供全年全天候电话联系其支持工程师?
• 提供商声称其响应电话呼叫的速度如何?30分钟内?还是更长时间?
• 升级支持成本多少,这可能包括更快的响应时间或随时联系3级工程师?
• 如果客户需要事故响应援助,该服务的成本和条款是什么?
• 多少员工可以联系技术支持获得援助?有些供应商提供支持计划,其中多名员工可以联系技术支持。
• 是否提供培训?这涵盖在订阅费用中还是单独收费?
研究威胁情报服务的技巧
LinkedIn以及其他高科技和社交媒体公司都有威胁情报组或论坛来共享关于零日攻击和其他高级攻击的情报。这些讨论通常会附有对具体服务提供商的简要评论和看法,并且,“我的经验分享”评论中往往包含有见解的心得,可帮助企业选择正确的服务。
很多威胁情报服务(例如FireEye和LogRhythm)在其网站提供最新最好的信息。另一个很好的信息源是Gartner Blog Network,在那里很多作者会探讨威胁情报以及一般安全问题。同时,企业还可以关注Cyber Threat Intelligence Integration Center(网络威胁情报整合中心),这个情报机构还在构建中,旨在提供“综合所有来源的情报分析”。
总结
因为威胁情报服务是很大的开支,企业需要充分研究这些服务,例如通过浏览每个服务提供商网站的数据表以及咨询销售人员(他们通常拥有对其产品以及行业的丰富知识)。在确定候选产品短名单后,IT决策者将能够权衡每个威胁情报供应商的帮助和关怀,这将是企业选择最佳威胁情报提供商的另一个标准。