随着全球经济的波动和不确定性增加,网络安全预算削减无处不在。根据研究机构SANS最近发布的《不确定时期的威胁搜寻》报告,11%的企业组织威胁搜寻和情报计划受到疫情的影响,12%的企业组织完全停止了他们的威胁搜寻计划。
随着勒索软件攻击的增加以及商业电子邮件泄露(BEC)诈骗的日益猖獗,安全预算缩减对于企业安全团队来说无异于雪上加霜。
对于缺钱少人的安全团队来说,“巧妇难为无米之炊”并不是放弃威胁情报工作的理由,因为威胁情报正在成为几乎所有网络安全堆栈技术的关键动力。以下,我们整理了业界专家的一系列建议,帮助那些缺少安全预算的企业组织,以20%的预算投入达成80%的威胁情报工作。
用好开源情报资源
目前,安全厂商的产品能力和开源社区项目的成熟度都在增长。如果将免费和开放的开源技术与分析师或研究人员的专业能力相结合,企业组织威胁情报团队就有了低成本的可行替代方案。
利用开源资源必须强调可行,因为有许多免费和开源工具不那么容易使用或集成度较差,可能需要团队中有更熟练的成员专门开发一些“运营胶水”。考虑到这一点,如果企业组织需要在有限预算下开展威胁情报工作,可遵守以下几条准则:
- 将资源短缺的问题与领导层充分说明并达成共识。确保高层领导意识到企业工具会带来更高效的分析,并且需要投入人力来弥补某些软件即服务 (SaaS) 安全产品和恶意软件沙箱的功能缺陷。
- 制定和落实更精细的安全工作计划。围绕威胁情报生命周期检查企业组织的目标,并确定实现目标所需的工具和数据。
- 充分利用企业内部资源,获取威胁情报数据。如果企业没有外部商业情报源,可以从自己的端点获取威胁情报数据,并反馈到在内部运行的威胁情报分析工具中。
优化安全团队的能力构成
企业组织威胁情报团队通常由不同背景的人组成。团队所需的技能包括网络基础知识、记者的研究和写作方法、程序员的自动化技能以及恶意软件分析师的逆向工程技能等。在企业组织威胁情报团队中很少有人能够完成上述所有工作,因此在具体分工时,要考虑每个团队成员的优势。
在所有工作中,最难的是运营企业组织知识管理系统,即威胁情报平台 (TIP)。企业组织在一定程度上可以摆脱电子表格,但最终还是会有太多数据需要管理并需要专用工具。例如,在使用像MISP、Hive或OpenCTI这类包含很多活动组件的开源工具时,企业组织需要一位具有基础设施管理和运营经验的团队成员。
如果团队中没有拥有这项技能的人,企业可以加入社区MISP实例或其他免费的开放威胁共享平台,这些平台往往提供一些关键的内容富化功能。对于想要获得编程和轻量级基础设施体验的人来说,开源工具是一个不错的选择,因为它们相对容易设置,较难的部分是如何把富化内容/工具关联到企业的TIP平台中,这就需要找到合适的人,利用专业技能,使用合适的工具来完成这项工作。
目前,有多种方法可以做到这一点,具体取决于工具,像IntelOwl和Cortex这样的富化工具都可以将功能自动提供给多个开源TIP。不过,在部署这类比较重要的富化工具时,需要注意以下事项:
- 企业需要腾出更多人手寻找威胁,而管理基础设施也很快就会成为一项全职工作,所以请尝试将工具所有权授予一位分析师,并在对该工具有一定了解的情况下保留两个备份。
- 在开发不属于这些开源项目领域的其他粘合任务时,请在内部编写之前尝试准备预开发解决方案。通常,企业会找到一个足够好的解决方案,使其快速配置工作流程并节省工程时间。
- 企业组织威胁情报团队可以通过基础设施管理工具(如Terraform)和配置管理工具(如Ansible)等实现程序编写部署的自动化。这样,企业组织就有了标准步骤来维护基础设施。
- 回归经典。自1970年以来,人们一直在通过命令行快速解析数据,使用小型的一次性C程序可以在几分钟内解析TB级数据;许多用来提取入侵指标、解析日志和munges数据的花哨工具都可以用“awk/sed”、“sort”和“uniq”工作流代替;熟练的UNIX管理员知道如何加快数据处理速度等。
总体而言,企业组织威胁情报团队可以通过许多不同的开源工具,获得接近企业级产品的服务。虽然这项工作会花费一定的人力和时间,尤其是会占用专业分析人员的时间,但在预算有限的情况下,这是保持威胁情报团队效能的必要成本。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】