威胁情报对于合规人员证明治理、风险和合规 (GRC) 预算的合理性至关重要 

据估计，合规性推动了网络安全行业 50% 的支出。最近，我们的一些客户、防御方同事表示，合规性框架通常不会考虑威胁情报。造成这种情况的主要原因是嘈杂的数据馈送、缺乏可识别的指标以及缺乏与客户痛点相关的可操作情报。

使用 NIST 框架，组织可以评估他们当前的安全状况，同意组织目标，了解他们的差距并制定计划来优化他们的安全状况。我们使用这个框架来展示威胁情报对于合规人员如何证明治理、风险和合规 (GRC) 预算的合理性至关重要，以及它对于负责事件响应、安全运营和第三方风险的 CISO 和安全从业者也如何重要. 本专栏是两部分系列中的第一部分，将重点介绍用于“识别”的 NIST 框架。 

确认

资产管理

1) ID.AM-4：外部信息系统被编目。服务提供商持续监控外部数字足迹，识别新资产和新服务。打开 RDP 端口、在防火墙策略之外运行的影子 IT 设备以及与您的环境通信的未经授权的文件共享是监视边界或外部攻击面管理的三个最常见的用例。 

风险评估

2) ID.RA-1：识别并记录资产漏洞。虽然此子类别通常用于监视内部资产是否配置错误，但也需要持续监视和评估外部资产以识别漏洞并确定参与者利用这些漏洞的可能性。 

3) ID.RA-2：网络威胁情报来自信息共享论坛和来源。威胁情报和托管服务提供商可以使用对暗网和开源论坛（包括社交媒体）的访问来收集有关潜在威胁的信息。这通常是通过爬网来识别暗网上被盗的凭据、发现社交媒体冒充、评估对人员或设施的物理威胁、识别负面品牌和声誉情绪，并在必要时直接与威胁行为者接触来完成的。

4) ID.RA-3：识别并记录内部和外部的威胁。外部威胁的范围从针对组织的勒索软件团体到出售对组织数据的访问权限的网络罪犯。情报提供者可以通过从外部监控恶意活动（例如，员工在犯罪论坛上出售访问权限或数据）和未经授权的文件共享来协助应对潜在的内部威胁。

5) ID.RA-4：识别潜在的业务影响和可能性。情报可以识别外部威胁活动的可能性并提供上下文。例如，可以围绕特定的勒索软件系列提供上下文，并确定检测工具是否可以识别其有效载荷而不是加密文件。可以在整体业务影响分析中考虑此上下文。

6) ID.RA-5：威胁、脆弱性、可能性和影响用于确定风险。威胁、漏洞和威胁的可能性可以包含在威胁态势评估中，以帮助确定企业的总体风险。例如，威胁格局应涵盖以企业业务地点为重点的全球地缘政治活动。特别令人感兴趣的是涉及与关键供应商相关的网络、物理、内部人员、加密/数字和供应链威胁的活动。情报目标是识别当前和不断升级的威胁，以便领导者能够随着威胁的变化做出调整。

供应链管理

7) ID.SC-2：使用网络供应链风险评估流程对供应商和第三方合作伙伴进行识别、优先排序和评估。威胁情报提供商使用关键供应商的攻击面和声誉监控工具监控互联网。在对供应商进行高、中、低排名后，企业应对关键供应商进行威胁情报监控和 RFI 响应，因为关键供应商的数据和服务位于企业边界之外（例如 MSP），并且可能存在更高的妥协可能性。 

8) ID.SC-4：使用审计、测试结果或其他评估形式定期评估供应商和第三方合作伙伴，以确认他们履行合同义务。理想情况下，威胁情报提供商和托管服务提供商将持续监控互联网，以确保审计、测试结果和调查问卷有效。出于法律和合规目的，供应商调查问卷应被视为第三方风险评估的起点。但是，这些调查问卷应该经过验证并与威胁情报相关联，特别是对于高风险供应商。 

如前所述，通过补充和增加洞察力的可操作情报来增强网络安全和合规计划可以轻松证明威胁情报计划的投资和增长是合理的。这是一种有价值的方法，应该被更多的企业组织采用。 

1. 
   

2. >>>等级保护<<<
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 网络安全等级保护：等级保护测评过程及各方责任
5. 网络安全等级保护：政务计算机终端核心配置规范思维导图
6. 网络安全等级保护：什么是等级保护？
   
7. 网络安全等级保护：信息技术服务过程一般要求
8. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
9. 闲话等级保护：什么是网络安全等级保护工作的内涵？
10. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
11. 闲话等级保护：测评师能力要求思维导图
    
12. 闲话等级保护：应急响应计划规范思维导图
    
13. 闲话等级保护：浅谈应急响应与保障
    
14. 闲话等级保护：如何做好网络总体安全规划
    
15. 闲话等级保护：如何做好网络安全设计与实施
    
16. 闲话等级保护：要做好网络安全运行与维护
    
17. 闲话等级保护：人员离岗管理的参考实践
18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。
47. 思维导图：ICT供应链安全风险管理指南思维导图
    

48. 英国的供应链网络安全评估

49. >>>其他<<<
50. 美国网络安全框架：CSF五个功能
51. 一起看看英国NCSC漏洞指南
52. 网络安全知识：什么是社会工程学
53. 缓解内部威胁：了解并保护关键资产
54. 缓解内部威胁：制定正式的内部风险管理计划
55. 缓解内部威胁：明确记录并持续执行控制措施
56. 缓解内部威胁：预测和管理负面因素工作环境中的问题

原文始发于微信公众号（祺印说信安）：将威胁情报映射到 NIST 合规框架