基于网络威胁情报的服务为何成为网络安全策略的一部分

过去几年中，威胁情报平台（TIP）在许多全球安全运营中心（SOC）中日益受欢迎。通过这项技术，可以为组织内的网络安全服务提供独特的价值。借助TIP平台的支持和基于网络威胁情报的关注点，可以将其整合为一个"网络威胁情报计划"，该计划通过提供情报（作为过程和产品）来为组织内一系列网络安全服务的决策提供支持。在本文中，我将说明该价值可能的形式，包括一些关键因素。

为什么需要一个网络威胁情报计划？

A. 网络威胁情报（CTI）有助于收集和分析有关威胁和对手的信息。制作威胁模型，能够为预测、准备、防止、检测、追踪、响应和取证等一系列网络攻击行动做出明智决策。

B. 网络威胁情报（CTI）侧重于威胁建模，支持领导层评估并作出对组织的现有或新兴威胁做出明智的前瞻性战略、战术和操作性决策。

C. 网络威胁情报（CTI）有助于识别和缓解各种业务风险，将未知威胁转化为已知威胁，并帮助实施各种先进和积极的防御策略。

D. 随着威胁行为者使用不断创新的技术、策略和战术，网络威胁对任何业务部门都构成重大风险。为了遏制这些威胁，组织重要的是纳入和利用可操作的网络威胁情报（CTI）来加强其现有的安全体系。

常见的网络威胁情报（CTI）策略有哪些？

作为一个一般性的起点，组织应根据其业务风险水平以及法规、合规性或业务要求制定自己的网络威胁情报（CTI）策略。在涉及CTI的常见文献中，可能会使用以下流行术语：

• 基于网络威胁情报的安全服务（Cyber Threat Intelligence driven Security Services）

• 由网络威胁情报主导的安全服务（Cyber Threat Intelligence lead Security Services）

• 以网络威胁情报为中心的安全服务（Cyber Threat Intelligence centric Security Services）

• 基于网络威胁情报的安全服务（Cyber Threat Intelligence informed Security Services）

以下三点似乎暗示了CTI是决策制定中的主要驱动因素。我认为这是错误的观念，应将重点转移到使用情报来指导政策，而不是驱动政策。

"情报的作用是为决策过程提供信息支持、支持政策，并为政策制定者提供知识和决策优势"。我强调威胁中心的偏见方法存在风险，应该结合以下因素进行补充：

• 基于资产为中心的基准控制措施（并对关键资产采取增强的基准控制措施）

• 自我保护资产（防篡改警报、可见性丧失、技术合规管理）

• 合规驱动的对策措施（符合审计标准）

• 在CTI数据源、定量和定性威胁模型之间进行划分。（将所有内容都倾泻到一个威胁模型中是行不通的）

"如果你停下来对每一只叫的狗扔石头，你永远无法到达目的地。" - 温斯顿·丘吉尔（Winston Churchill）

在下图中，我尝试以可视化方式呈现这个核心概念：

在启动网络威胁情报计划之前，必须强调的是，必须建立一个基础的SOC（安全运营中心）上下文，以能够从网络威胁情报计划中获得价值：

1. 建立完整的安全事件管理流程。

2. 建立核心的SOC技术（例如：SIEM、SOAR、EDR、IDS、IPS）。

3. 建立的技术应能够接收和应用自动化的威胁指示器（IOC）数据源。

为了更详细地说明CTI的业务价值范围，创建了以下图示：

关键要点：

这是对CTI类型的过度简化，实际上，这些类型的实施可能因组织而异。

在SANS和EC-Council的文献中，战术和操作层次的概念交换了位置（我猜这与大多数概念框架具有军事背景有关）。由于我的背景主要是商业领域，我将它们颠倒过来，使其在逻辑上更合理（通常适用于我演示给商业人士的观众）。

SANS谈到了战略、战术和操作层次，但EC-Council还提到了技术CTI为了简化起见，这在图示中被省略了。

结论：

网络威胁情报驱动的SOC战略对于您的网络安全组织在打击有针对性的网络威胁方面非常有益，但不要忘记，CTI的任务是为政策提供信息，而不是创造政策。