威胁情报数据对于有效的企业安全实践变得越来越重要。威胁情报解决方案收集有关现有和新兴威胁参与者和威胁的原始数据和指标。然后对这些数据进行分析,以期为组织提供信息并为应对网络安全风险做好准备,例如零日风险、威胁参与者攻击、高级持续威胁以及利用已知漏洞。许多组织只在这种情况下查看威胁情报。他们将其视为解决网络安全问题的一部分,真相远非如此。
实际上,威胁情报和开源情报可以告知和影响广泛的业务问题和风险。这些担忧涵盖了从 IT 到网络安全、物理安全、信任和安全、营销等等的组织。威胁情报可以在所有这些中发挥作用。
让我们先来看看企业面临的不同业务问题和风险。显然,这些问题及其重要性会因行业、组织规模和进入市场的策略而异。开始这种探索的最简单方法是查看不同的情报领域和相关风险。
企业安全团队的情报解决方案通常分为以下几类:
● 网络威胁情报
● 声誉情报
● 欺诈情报
● 平台智能
● 保护情报
大家首先想到的领域是网络威胁情报——网络安全团队的领域。在这里,对机密性和完整性以及数据、系统和网络的可用性的威胁都很好理解。识别防火墙外的数字威胁、揭露网络内的内部人员以及在暗网上寻找威胁都是成熟的服务。
● 漏洞和暴露在外围
● 内部威胁的人类行为
● 数据泄露
● 通过攻击面监控识别未知资产
● 外部威胁搜寻
声誉情报不仅仅与“品牌”有关。CMO 及其团队关注品牌知名度和用户对产品或服务的情绪,并着眼于这些信息对上市或产品管理策略的影响。声誉情报超越了情感分析,并着眼于对品牌的威胁,这些威胁可能表明对手、内部人员或竞争对手的协同努力。在互联网上对负面情绪进行简单的关键字搜索将无法实现这一目标,并且会导致过多且通常不相关的发现和干扰噪音。
● 心怀不满的员工
● 短而扭曲的方案
● 域和应用程序欺骗
欺诈情报是人们互动的在线平台公司从业人员的主要关注点。这些企业包括电子商务、市场、零工经济和社交媒体公司。在这些环境中,欺诈者通常会利用公司环境、服务和系统来获取金钱利益。
● 账户接管
● 身份盗窃
● 采购业务
● 企业流程漏洞利用
● 脱节的技术栈开发
● 非法购买金钱
● 电子商务开发
与欺诈情报密切相关且信任和安全团队也关注的是平台情报。可用于应对滥用平台并对消费者体验和品牌信任产生负面影响的对手。
● 滥用或滥用凭证
● 伪造API
● 通过脚本和机器人进行 API 操作
● 通过虚假内容联合操纵人口
● 游戏收视率
保护性情报解决了几个世纪以来一直存在的问题,特别是对企业、员工和设施的物理威胁。这可以从针对 CEO 的死亡威胁,到在公司活动中宣传抗议,再到针对公司总部的炸弹威胁。保护性情报可用于识别、评估和减轻这些威胁。在与 IT 和网络安全团队协调的同时,这些用例通常属于传统物理安全团队的领域。
1) 评估与关键供应商和合作伙伴相关的供应链风险,以及
最近 SolarWinds 和 Log4J 漏洞的覆盖范围和影响提高了第三方情报在技术供应链中的重要性。同时,由于并购活动的创纪录水平,尽职调查变得越来越重要。利益相关者可能非常不同——一种是投资经理,另一种是合规经理。两者的关键是使用开源情报更早地开始这一过程,并将覆盖范围扩大到网络安全和合规之外,现在包括对关键个人和关键人员暴露的非传统业务风险的评估。
尽管所有这些用例、利益相关者和情报领域最初可能看起来截然不同且没有联系,但事实并非如此。无论遇到何种风险类型和对手,都有一些通用方法可以让企业识别和减轻这些风险。可操作的情报必须关联大量数据,将威胁参与者与其动机和相关风险联系起来,并识别攻击过程。取得积极成果的关键在于 OSINT、技术特征分析和威胁参与者参与的结合。
原文始发于微信公众号(祺印说信安):威胁情报的多面性第 1 部分:识别问题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论