企业实施的数字化转型计划和混合IT增加了风险,并推动了对数字化风险保护的需求,威胁情报项目必须满足这一要求。
Enterprise Strategy Group (ESG)高级首席分析师Jon Oltsik表示,他在企业网络威胁情报项目的研究中发现,虽然很多首席信息安全官投资网络威胁情报,但依然存在挑战。他还深入研究了网络威胁情报的生命周期,将近四分之三(74%)的企业声称他们采用了生命周期,但是许多企业表示在生命周期中的一个或几个阶段遇到了瓶颈。
ESG公司将网络威胁情报定义为“基于证据的、可操作的、关于网络对手敌对意图的、满足一个或多个要求的知识”。在过去,这个定义实际上适用于妥协指标和信誉列表(例如已知错误IP地址、web域或文件的列表)和战术、技术和流程上的详细信息。
数字风险保护如何推动网络威胁情报的采用
数字风险保护的智能部分旨在提供对用户凭据、敏感数据、SSL证书或移动应用程序等内容的持续监控,寻找这些领域的弱点、黑客聊天或恶意活动。例如,一个欺诈性网站可能表明利用企业的品牌来欺骗用户的网络钓鱼活动。这同样适用于恶意移动应用程序。泄露的凭证可能会在暗网上出售,网络犯罪分子可能会交换想法进行有针对性的攻击。
从研究中可以看出,数字化转型计划的激增正在成为企业网络威胁情报计划的催化剂。当被问及为什么他们的企业启动网络威胁情报计划时,38%的受访者表示这是作为品牌声誉、高管保护、深度/暗网监控等领域更广泛的数字风险保护工作的一部分。研究还表明,98%的企业现在都有某种形式的数字风险保护措施。
最重要的数字风险保护功能
为了深入研究数字风险保护,ESG公司让安全专业人员定义其企业中最重要的数字风险保护功能。以下是6个主要的回答:
- 漏洞利用情报:漏洞管理程序定期揭示数百或数千个软件漏洞,但企业如何决定首先缓解哪些漏洞?通过了解网络攻击者正在利用哪些漏洞,数字风险保护可以调整已知的漏洞,为修补优先级提供有用的情报。需要注意的是,这也可以用基于风险的漏洞管理工具(例如Cisco/Kenna、Ivanti或Tenable)来实现。
- 撤销服务:英国国家网络安全中心对撤销服务的定义如下:“撤销服务旨在通过删除网站和阻止攻击基础设施来减少网络攻击者的投资回报,以限制这些网络攻击可能造成的伤害。”当发现欺诈性网络钓鱼网站或移动应用程序时,关闭服务是降低风险的最短途径。
- 泄露的数据监控:无论是内部攻击、员工疏忽还是草率行为,数据泄露都太常见了。数字风险保护会在泄露的数据对企业造成损害之前找出它。
- 恶意移动应用程序监控:所谓的“灰色软件”可以破坏用户设备或企业的声誉,数字风险保护打算在合法和非法的应用商店中找到并消灭它们。
- 品牌保护:品牌保护可以保护企业及其相关品牌的知识产权,防止假冒、盗版、专利侵权等。这些可能与网络钓鱼网站甚至假冒实体商品有关。数字风险保护还将扫描互联网上的冒名顶替者、假货和骗局。
- 攻击面管理:攻击面管理:是对网络攻击面上所有资产的持续发现、监控、分析和补救。在某些情况下,攻击面管理是数字风险保护服务的一部分。
数字风险保护还可以包括暗网监控有关企业的信息和潜在的目标攻击计划。这种情报可以帮助企业提高他们的防御能力。许多企业没有启动数字风险保护计划,而是使用CrowdStrike、Cybersixgill、Digital Shadows(Reliaquest)、Intsights(Rapid 7)、Mandiant、Proofpoint和ZeroFox等数字风险保护服务提供商的服务。
无论其形式如何,数字风险保护都必须是成熟的网络威胁情报计划的一部分。在将这两个领域合并之前,首席信息安全官应该使用威胁情报生命周期方法来处理数字风险保护。成功的数字风险保护计划将由明确的优先情报需求、强大的分析、定制的情报报告和持续的反馈来驱动。