当 ESG 最近要求安全专业人士确定成熟威胁情报程序的属性时,最高的回答是“信息传播和为特定个人和群体消费定制的报告”。然而,许多组织没有成熟的威胁情报程序,也尚未实现这一目标。ESG 的 Jon Oltsik引用了80/20 规则,其中“80% 的组织拥有基本的威胁情报程序,而只有 20% 的组织更高级。”
与关键用户共享定制的威胁情报不仅表明您的威胁情报计划正在成熟,而且是加深理解、展示价值并获得对该计划的更广泛支持的好方法。如果您想开始或改进与关键用户共享定制情报,请在开发流程时考虑这四个方面。
1.功能
威胁情报团队的角色是为许多不同的内部客户提供产品或服务,每个客户都有不同的威胁情报要求来支持他们的特定用例。例如:
- 安全运营中心 (SOC) 需要已根据具体情况进行妥协的指标,以表明它们具有相关性和高优先级,因此他们可以将它们添加到 SIEM 监视列表中进行监控。
- 威胁猎手需要正在运行的活动的详细信息以及对手的动机、目标和战术、技术和程序 (TTP),以便他们可以寻找绕过防御的活动。
- 事件响应 (IR) 团队需要有关对手、活动和所用基础设施的威胁情报,以便他们能够加速全面响应。
- 漏洞管理团队需要威胁情报来帮助他们了解他们的威胁形势以及漏洞被针对组织的对手利用的可能性,以便他们可以优先修补。
- 业务部门、最高管理层和董事会级别的行政领导需要对他们很重要的指标,这些指标可以让人们相信组织正在采取正确的步骤来保持强大的安全态势,并能够在攻击发生时减轻损害。
2.形式
没有“单一的方式”来沟通。不同的团队使用不同的语言,并且会以不同的方式应用威胁情报,因此花时间了解哪种类型的沟通最有效非常重要。
对于许多技术团队来说,实际的提要和仪表板效果很好,可以直接提供他们完成特定工作所需的威胁情报。同时,对于高管和董事会而言,定制的仪表板可能对某些人来说效果很好,而 PDF 可能对其他人来说更好。
无论哪种方式,内容本身都可以很容易理解并且与商业领袖相关。与包含受挫攻击的“谁、什么、何时、何地和为什么”的更新相比,坚持使用围绕每月事件、警报和事件数量生成的典型指标的影响要小得多,
3.频率
在需要接收威胁情报的频率方面,每个团队也有非常不同的期望和要求。在安全方面,时间越长,造成的损害就越大。此外,许多安全团队都专注于积极主动,因此速度至关重要。
但是,共享未经审查和与组织相关的上下文的数据最终会浪费宝贵的时间。威胁情报团队可以使用自动化来增强和丰富具有上下文的数据,因此团队可以更快地获得正确的数据,并可以轻松地对其进行优先排序以进行分析和采取行动。
高管和董事会成员有不同的要求。为更正式的沟通制定定期时间表,至少每季度一次,是一个好的开始。然而,威胁情报团队也应该准备好在新闻中出现新的漏洞或威胁并且 CEO 问:“它是什么?”时提出临时问题。,“它与我们有关吗?” ,“我们受到了怎样的影响?” 或“我们正在做什么来保护自己?” .
4.反馈
最后,重要的是向您的不同客户征求反馈意见,以确保他们得到他们需要的东西,以及他们需要的方式和时间。推进威胁情报计划是一条两条路。您需要了解您的服务是如何被使用的,如果不是,您需要了解原因并相应地进行调整。调整格式,进一步定制威胁情报,改变频率——尽一切努力确保该计划正在交付价值,并被视为您组织的每个安全团队和领导层的重要工具。
2023 年已经过半,对于许多团队来说,现在是退后一步并衡量年初设定目标进展情况的好时机。如果您的目标之一是完善您的威胁情报计划,请诚实评估您在与不同内部客户共享威胁情报方面的表现。有时间进行相对简单但影响很大的调整,以展示威胁情报计划提供的价值,并将其转变为一种首选资源,这将在预算季节到来时加强您进行额外投资的理由。