网络威胁情报旨在创建和共享有关快速发展的网络威胁形势当前状态的知识,并为用户和网络安全解决方案提供识别当前威胁和为未来做出战略决策所需的信息和背景。
网络威胁情报的类型
网络威胁情报是使用高级分析算法收集和分析多源网络安全数据。通过收集有关当前网络安全威胁和趋势的大量数据并对这些数据进行分析,威胁情报提供商可以获得有用的数据和见解,帮助他们的客户更好地检测和准备网络威胁。
组织有广泛的情报需求,从目前用于攻击活动的恶意软件变种的低级信息到旨在为战略投资和政策制定提供信息的高级信息。出于这个原因,威胁情报可以分为三种不同类型之一:
运营:运营威胁情报侧重于网络攻击者用来实现其目标的工具(恶意软件、基础设施等)和技术。这种类型的理解有助于分析师和威胁猎手识别和理解攻击活动。
战略:战略威胁情报是高级别的,侧重于网络威胁领域内的普遍趋势。这种类型的威胁情报面向需要了解其组织的网络风险作为其战略规划的一部分的高管(通常没有网络安全背景)。
战术:战术威胁情报侧重于使用妥协 (IoC) 指标识别特定类型的恶意软件或其他网络攻击。这种类型的威胁情报被网络安全解决方案摄取,并用于检测和阻止传入或正在进行的攻击。
威胁情报应该提供什么?
网络威胁情报旨在提高组织将网络风险降至最低、管理网络威胁并将情报反馈到所有产品中的能力,以保护任何攻击面。为了有效支持组织的网络安全战略,威胁情报平台应提供某些功能:
多源数据关联:不同的观点产生不同的数据和见解。威胁情报平台应聚合内部和外部数据源,为组织提供对其可能面临的网络威胁的全面可见性。
自动分析和分类:威胁情报平台收集的数据很容易使组织的安全团队不堪重负,使其无法有效使用。威胁情报平台应该对情报进行自动分析、分类和优先排序,以确保分析师首先看到最重要的数据。
数据共享:将威胁情报数据放在单个集中式系统上(并依靠分析师手动将其分发到他们的防御解决方案)限制了其有效性。威胁情报平台应包括集成,以便在整个组织的安全部署中自动传播数据。
自动化:网络威胁形势迅速发展,随着网络威胁参与者开始新的活动并结束其他活动,威胁情报数据迅速变得陈旧。如果要为用户提供价值,则必须使用自动化来加速分析和使用威胁情报。
可操作的见解:知道存在特定威胁与知道如何应对它是不同的。威胁情报平台应就组织如何保护自己免受情报引起他们注意的威胁提供可操作的建议和见解。
如何选择威胁情报平台
存在许多不同的威胁情报平台和源,并且,对于威胁情报,更多并不总是更好。订阅多个威胁情报源并尝试在内部汇总和分析它们可能会导致大量冗余和低质量数据。相反,组织应选择具有以下品质的威胁情报平台:
实时数据:许多网络攻击活动只持续数小时或数分钟,这意味着每天更新的威胁情报基本上是无用的。一个有效的威胁情报平台将提供基于实时数据分析的洞察力。
粒度威胁可见性:根据不同的因素(公司规模、位置、行业等)针对不同的网络攻击活动。威胁情报平台应提供对更大市场所面临威胁以及针对组织特定行业的威胁的可见性。
集成解决方案:识别潜在威胁但依赖分析师响应的网络威胁情报平台并不能为其用户提供其自动化的全部优势。威胁情报平台应与网络安全解决方案集成,并能够自动响应已识别的威胁。
