通过观察威胁情报是如何产生的,如何在组织中传播及应用,用户可以有效地管理它。
管理威胁情报的产生意味着需要采取一些能够找出其真正来源的有效方法,比如尽可能自动运行并提前识别组织使用的案例,以便可以专注于正确对应数据。
与能够对其采取行动的人分享你的威胁情报–这意味着要确保它是以即时情景的方式产生,并且能够被目标受众理解。
通过提高现有程序的效率,获得更高的投资回报,并使用户的安全系统更加完善强大,有效地利用威胁情报。
您可能已经点击了这篇博客文章,期望能够更有效地管理您的数据提要。毕竟,处理威胁数据来源是任何威胁情报专家工作的基础。但是真正管理起来非常费时——这是理所当然的,任何改进威胁情报管理方法的尝试都会涉及到更有效的数据处理。
让我们探讨一些进行威胁情报管理的指导原则,并通过一些案例研究来展示其价值。
威胁情报管理的现实价值
虽然许多威胁情报解决方案只会为您提供数据源,但威胁情报的真正价值并不在于组织和管理所有不同的数据源——威胁情报提供背景信息,原始数据勾勒出一张地图;威胁情报实际上为您指出了一条路线。
无关组织大小,有效地管理您的威胁情报可以归结为改进威胁情报开展的三个阶段:如何产生威胁情报?如何传播威胁情报?以及它最终在您追求组织的网络安全需求时是如何应用的?
但是,在您着手改进这三个阶段之前,必须先确定什么威胁情报案例对您的组织来说是最重要的,然后才能回答一个更基本的问题,即改进什么。
制作你需要的威胁情报
威胁情报最终是从原始来源衍生出来的完美产品,其中最常见的是威胁数据的输入。在选择要从哪里提取数据,以及如何评估其价值时,需要遵循一些最佳实践方法。单个数据提要通常提供这一数据的主题,如与恶意活动相关的可疑IP地址或电子邮件地址列表。
即使在这个有限的范围内,提要的也只是未区分的信息流,其中没有任何单个数据点优先于其他,这使得手工排序对任何分析师来说都是一个巨大的麻烦。一个好的威胁情报解决方案应该使这个分类过程自动化,例如,通过有明确定义的本体对原始数据进行排序,使分析人员能够更容易研究某个特定的主题。
然而,自动化处理并不等同于制作本身。更完善的威胁情报解决方案将不仅仅包括来自公开的威胁数据源的数据,而且还包括来自像社交媒体、暗网论坛和技术资源网站的数据。之后再将这些不同的数据源合并到一个与您的组织案例相关的数据供应处。
与正确的人分享你的威胁情报
能够将所有这些杂乱无章的数据汇集在一起,从中分析师能够识别模式并得出结论。这看上去不错,然而除非针对最终威胁情报可采取某些行动,否则这份威胁情报仍然不会有多大价值。这是每个人都喜欢使用的商业术语中的一种——“我们需要为今年的第四季度制定更多可行的策略!”——实际这本身并不意味着什么。
要想对威胁情报采取行动,通常需要考虑下列因素:
- 即时性。威胁情报提示你的组织经受网络攻击是即时性的。攻击发生后再将这些攻击提示整合归纳就失去了即时性。
- 关联性。威胁情报应该是个性化的。您唯一需要担心的是那些针对您使用的系统的目标漏洞。
- 连贯性。这也许是威胁情报可否被定义,以及可否采取措施最基本的方面了——这必须能够被那些能够采取行动的人所理解。关于组织安全系统中重大缺陷的一份紧急报告落在经理的收件箱中,但由于它是用一种高度技术性和难以解析的语言编写的,经理没有充分理解威胁的紧迫性,因此选择不对其进行优先排序,于是产生了严重的后果。
任何威胁情报发展周期的产出将因其目标受众而产生不同。最终结果可以是具体情景报告,以便吸引商界领袖关注;旨在通知进行安全操作的技术指标;运行趋势和威胁提醒的仪表板,如漏洞、恶意软件或恶意基础设施;对潜在攻击或损害品牌的活动发出警报,等等。
有偏向的运用威胁情报
通过一开始就确定目标受众,以及即将产生的情报的最佳服务案例,从而管理你的威胁情报服务。
回到上面根据目标受众可以产生的不同形式的威胁情报的例子,这里有一些情景可以应用这些情报:
- 一个组织的首席财务官在阅读一份报告后决定将明年预算的更大部分分配给该组织的网络安全团队,该报告强调一旦团队从使用免费威胁数据源切换到更完整的威胁情报解决方案后,投资回报将不断增长。
- 在将威胁情报解决方案整合到现有的安全软件中后,分析师可以花更多时间进行警报分类和事件调查,自动化大部分数据收集并帮助他们避免误报。
- 组织的安全团队设置一个自动警报,以防任何在互联网上(不仅仅社交媒体网站,甚至还有一些日常很难接触到资源网站:如暗网市场)提及该组织的情况。在此之后,公共关系部门能够更快地对潜在的品牌破坏性黑客和敏感信息泄漏给与反应。
威胁情报有无数的应用程序——比其他任何组织都能有效地利用它。能够更有效地着手管理威胁情报的最佳方法是确定个人需要关注哪些应用程序并找到最适合个人需求的解决方案。