网络威胁情报(CTI)
威胁情报是识别和分析网络威胁的过程。“威胁情报”一词可以指关于潜在威胁收集的数据 或 收集、处理和分析该数据以更好了解威胁的过程。威胁情报包括筛选数据、根据上下文检查数据以发现问题并针对发现的问题部署解决方案。
威胁情报
威胁情报的定义有时会与其他网络安全术语混淆。最常见的是,人们将“威胁数据”与“威胁情报”混为一谈——但两者并不相同:
- 威胁数据是一个可能的威胁列表。
- 威胁情报着眼于更大的图景——通过质询数据和更广泛的背景来构建可以为决策提供信息的叙述。
从本质上讲,威胁情报使组织能够做出更快、更明智的安全决策。它鼓励在对抗网络攻击时采取主动而非被动的行为。
威胁情报是任何网络安全生态系统的重要组成部分。网络威胁情报计划(有时称为 CTI)可以:
- 防止数据丢失:通过结构良好的 CTI 计划,组织可以发现网络威胁并防止数据泄露释放敏感信息。
- 提供安全措施指导:通过识别和分析威胁,CTI 可发现黑客使用的模式,帮助组织实施安全措施以防范未来攻击。
- 告知他人:黑客每天都在变得更加聪明。为了跟上发展步伐,网络安全专家与 IT 社区分享他们所看到的策略,以创建集体知识库,从而打击网络犯罪。
威胁情报的类型
网络安全威胁情报通常分为三类:战略、战术和运营。
战略威胁情报:非技术性
这通常是为非技术受众(例如公司或组织的董事会)设计的高级分析。它涵盖了可能影响更广泛业务决策的网络安全主题,着眼于总体趋势和动机。战略威胁情报通常基于公开来源(例如媒体报道、白皮书和研究),这意味着任何人可以访问它们。
战术威胁情报:信息简单
它侧重于近期的未来,为技术更熟练的受众设计。它识别简单的危害指标 (IOC),以允许 IT 团队搜索和消除网络中的特定威胁。IOC 包括错误 IP 地址、已知恶意域名、异常流量、登录警报或文件/下载请求增加等元素。战术情报是生成的最直接的情报形式,通常自动化进行。它的寿命通常很短,因为许多 IOC 很快就会过时。
运营威胁情报:信息相对完善
每一次网络攻击背后都有一个“谁”、“为什么”和“如何”。运营威胁情报旨在通过研究过去的网络攻击来回答这些问题,得出有关意图、时机和复杂性的结论。与战术情报相比,作战威胁情报需要更多资源,并且生命周期更长。这是因为网络攻击者无法像更改工具(例如特定类型的恶意软件)那样轻松更改战术、技术和程序(称为 TTP)。
网络威胁情报生命周期
网络安全专家使用与威胁情报相关的生命周期概念。一个典型的网络威胁生命周期涉及以下阶段:方向、收集、处理、分析、传播和反馈。
第 1 阶段:方向
此阶段的重点是为威胁情报计划设定目标。它可能包括:
- 了解组织的哪些方面需要受到保护并可能创建优先顺序。
- 识别组织需要哪些威胁情报来保护资产和应对威胁。
- 了解网络违规对组织的影响。
第 2 阶段:收集
此阶段的内容是收集数据以支持在第 1 阶段中设定的目标。数据数量和质量对于避免错过严重的威胁事件或被误报误导都至关重要。在这个阶段,组织需要识别他们的数据来源——这可能包括:
- 来自内部网络和安全设备的元数据
- 来自可靠网络安全组织的威胁数据信息流
- 采访知情的利益相关者
- 开源新闻网站和博客
第 3 阶段:处理
收集到的所有数据都需要转换为组织可以使用的格式。不同的数据收集方法将需要不同的处理方式。例如,来自人工访谈的数据可能需要与其他数据进行事实核查和交叉核查。
第 4 阶段:分析
一旦数据被处理成可用的格式,就需要对其进行分析。分析是将信息转化为可以指导组织决策的情报的过程。这些决策可能包括是否增加对安全资源的投资、是否调查特定威胁或一组威胁、需要采取哪些行动来阻止即时威胁、需要哪些威胁情报工具等等。
第 5 阶段:传播
分析完成后,需要将关键建议和结论分发给组织内的相关利益相关者。组织内的不同团队会有不同需求。为了有效传播情报,有必要询问每个受众需要什么样的情报、以何种形式以及多久一次。
第 6 阶段:反馈
利益相关者的反馈将有助于改进威胁情报计划,确保它反映每个小组的要求和目标。
“生命周期”一词强调了威胁情报不是一个线性的一次性过程这一事实。相反,它是组织用于持续改进的循环和迭代过程。
威胁情报作用对象
每个对安全感兴趣的人都可以从威胁情报中受益。特别是如果您正在经营一家企业,好处包括:
降低风险
黑客一直在寻找渗透企业网络的新方法。网络威胁情报使企业能够在新漏洞出现时识别它们,从而降低数据丢失或日常运营中断的风险。
避免数据泄露
一个全面的网络威胁情报系统应该有助于避免数据泄露。它通过监控试图与组织系统通信的可疑域或 IP 地址来实现这一点。一个好的 CTI 系统会阻止来自网络、可能会窃取您的数据的可疑 IP 地址。如果没有 CTI 系统,黑客可能会用虚假流量淹没网络,以执行分布式拒绝服务 (DDoS) 攻击。
降低成本
数据泄露代价高昂。2021 年,全球数据泄露的平均成本为 424 万美元(尽管这因行业而异——最高的是医疗保健)。这些费用包括法律费用和罚款以及事故后恢复费用等要素。通过降低数据泄露的风险,网络威胁情报可以帮助节省资金。
从本质上讲,威胁情报研究有助于组织了解网络风险以及需要采取哪些步骤来减轻这些风险。
要在威胁情报计划中寻找的功能
要管理威胁,需要对您的资产进行全方位了解。您需要一个计划来监视活动,发现问题并提供您所需的数据类型,以便做出明智的决策来保护您的组织。下面是要在威胁情报计划中寻找的功能:
量身定制的威胁管理
您需要的公司必须能够访问您的系统,发现弱点,建议安全措施并全天候监控它。许多网络安全系统声称可以做到这一点,但您应该寻找一个可以根据您的特定需求定制解决方案的系统。网络安全不是一个“一刀切”的解决方案,因此不要满足于选择向您销售单个网络安全解决方案的公司。
威胁数据订阅源
您需要已被列入拒绝名单的网站以及要密切关注的恶意行为者的最新信息流。
访问调查
您需要一家能够让您访问其最新调查的公司,这些调查可解释黑客的入侵方式、他们想要什么以及他们如何获得这些东西。借助这些信息,企业可以做出更明智的决策。
实际解决方案
网络威胁情报计划应有助于您的公司识别攻击并降低风险。该计划必须全面——例如,您不想要一个仅识别潜在问题却不提供解决方案的计划。