网络威胁情报需求和背景
网络安全是一个复杂和快速更新的领域,在企业的网络安全建设中,我们现在已然能得出结论,仅依靠基础的安全控制和日志监控已不足以构建有效的网络安全防御策略,企业必须深入了解哪些人可能针对我们,他们在攻击中可能采用哪些手段,以及攻击最可能发生的时间,这就是我们为何需要威胁情报的原因。
威胁情报是一个高度专业化和体系化的领域。对于大多数企业而言,建立自己的威胁情报生产和消费全流程不仅具有挑战性,而且成本高昂。因此,他们更倾向于寻求能提供多元化威胁情报服务的供应商。企业客户期望获得的不仅仅是即时的威胁警报,他们需要的是能够支撑他们长期网络安全战略规划的全面情报。这包括对新兴威胁的深入分析和预测,以及如何将这些情报有效地融入到他们的安全架构中。
在选择威胁情报服务提供商时,企业客户面临的一个关键问题是情报的全面性和质量。他们希望掌握的情报越全面越好,质量越高越好。然而,在评估多个服务提供商时,他们通常会发现,尽管不同提供商之间的情报数据存在交集,但每个提供商都有其独特的信息和专长。因此,企业在选择威胁情报服务时,不仅要考虑情报的覆盖范围和深度,还要考虑服务提供商的专业能力和情报的实用性。选择合适的服务提供商,对于企业来说,是实现有效的威胁识别、优先级处理和长期安全规划的关键。
威胁情报类别和价值
根据不同的目的和受众,网络威胁情报可以分为以下三种主要类别:
-
战略情报:这是一种高层次的威胁情报,主要面向非技术人员,例如高管、领导者或决策者。它描述了全球或行业的威胁态势,或者是针对某一特定威胁行为体的详细画像,包括威胁组织身份、背景、组织构成、行动动机和目标、行为模式和范围、威胁影响和风险等方面的信息。战略威胁情报获取难度高、研判处理复杂、战略价值大等特点,是领导层进行战略决策、制定战略计划、业务筹划和指导业务的重要依据。
-
战术情报:这是一种中层次的威胁情报,提供组织实施威胁对抗所需的情报内容,主要面向技术人员,例如安全分析师、安全工程师或安全经理。它描述了威胁行为体的战术、技术和程序 (TTP),例如他们使用的攻击载体、利用的漏洞、针对的资产等方面的信息。战术情报旨在得出有关攻击者的意图、时机和复杂性的结论。其价值在于提供对特定攻击者或攻击行为的深入了解,从而帮助组织更有效地预防和应对复杂的安全威胁。
-
技术情报:这是一种低层次的威胁情报,主要面向技术人员,例如安全运维人员、安全响应人员等。它描述了威胁的具体细节和特征,例如恶意软件的散列值、攻击者的 IP 地址、入侵的指示器 (IoC) 等方面的信息。技术情报的价值在于可以帮助组织检测和应对正在进行的或已经发生的攻击,过滤和消除噪音和误报,提高安全事件的识别和处置的速度。
威胁情报服务提供商的情报来源
威胁情报服务提供商(ETISPs)会通过多种手段来丰富他们的情报数据并提升情报质量,为其客户提供关键的安全洞察。了解这些情报来源对于评估和选择合适的威胁情报服务提供商非常重要。以下是ETISPs常用的几种情报来源:
-
开源情报(OSINT):开源情报是从公开可访问的资源中收集的信息,包括网站、博客、论坛、社交媒体和新闻报道。这些信息提供了关于网络威胁的广泛视角,但也可能存在噪音、过时或不准确的数据。威胁情报服务提供商也正在积极应用人工智能和机器学习技术,比如使用自然语言处理NLP从众多来源收集、处理和分析有关网络攻击的信息,例如攻击者的身份、动机、行为、手段和目标,以及入侵指标(如恶意文件、IP地址、域名、URL等)。
-
闭源情报 (CSINT):这是指从私有或受限的来源收集的情报,例如暗网、地下论坛、恶意软件库、威胁情报共享平台等。这种情报可以提供深入和独家的威胁信息,但也可能存在获取难度、法律风险或伪装欺骗的问题。
-
技术情报 (TECHINT):技术情报来自于对恶意软件样本、网络签名和攻击向量的捕获和分析,例如入侵检测系统、网络空间测绘、蜜罐、沙箱等。这种情报可以提供量化和客观的威胁信息,但也可能存在漏报、误报、分析和归因困难等问题。
-
人力情报 (HUMINT):这是指从人类来源收集的情报,例如研究人员、分析师、专家或线人等。这种情报可以提供情境和定性的威胁信息,但也可能存在主观性、偏见或可信度的问题。
威胁情报的服务模型
威胁情报的服务模型是指威胁情报服务提供商如何向客户提供威胁情报的方式和范围。不同的服务模型可能有不同的特点、优势和局限性,客户需要根据自己的需求和能力选择合适的服务模型。
一般来说,威胁情报的服务模型可以分为以下几种:
-
订阅模型:这是一种最常见的服务模型,客户可以通过付费订阅威胁情报服务提供商的威胁情报产品或平台,获取定期或实时的威胁情报数据和分析。这种服务模型的优点是可以提供快速、简单、标准化的威胁情报,适合大多数客户的基本需求。但是,这种服务模型的缺点是可能缺乏针对客户特定环境和场景的定制化和深度的威胁情报,以及与服务提供商的交互和沟通的机会。
-
咨询模型:这是一种更高级的服务模型,客户可以根据自己的特定需求和问题,委托威胁情报服务提供商进行定制化的威胁情报研究和咨询,获取专业、深入、针对性的威胁情报报告和建议。这种服务模型的优点是可以提供更有价值和可操作的威胁情报,适合面临复杂和高级威胁的客户。但是,这种服务模型的缺点是可能需要更多的时间、成本和资源,以及与服务提供商的密切合作和信任。
-
共享模型:这是一种更开放的服务模型,客户可以通过加入威胁情报共享平台或社区,与其他客户或服务提供商交换和共享威胁情报数据和经验,获取更广泛和多样的威胁情报。这种服务模型的优点是可以提供更丰富和多元的威胁情报,适合有共同利益和目标的客户。但是,这种服务模型的缺点是可能存在数据质量、安全性和隐私性的问题,以及与其他参与者的协调和协作的挑战。
威胁情报服务提供商的交付模式
交付模式是指威胁情报服务提供商向客户提供威胁情报的方式和形式。不同的交付模式可能有不同的特点、优势和局限性,客户需要根据自己的需求和能力选择合适的交付模式。一般来说,威胁情报服务提供商的交付模式可以分为以下几种:
-
威胁情报报告:这是一种常见的交付模式,客户可以通过电子邮件、网站、应用等渠道获取威胁情报服务提供商编写的威胁情报报告。报告可能包括威胁行为者的档案、威胁活动的细节、威胁指标、威胁影响、缓解措施和威胁展望,这些报告可能定期或根据客户的需求提供。这种交付模式的优点是可以提供结构化、清晰、专业的威胁情报,适合需要深入了解威胁主题或问题的客户,缺点是可能需要更多的时间、成本和人力,以及与服务提供商的沟通和协作。
-
威胁情报预警:这是一种及时的交付模式,客户可以通过短信、电话、推送等渠道获取威胁情报服务提供商发送的威胁情报预警,可能包括威胁描述、严重性、来源、目标、响应和更新信息。这种交付模式的优点是可以提供快速、简单、实用的威胁情报,适合需要及时应对威胁事件或情况的客户,缺点是可能缺乏细节、背景、解释的威胁情报,以及与服务提供商的交互和反馈的机会。
-
威胁情报仪表盘:这是一种可视化的交付模式,客户可以通过网页、软件、设备等渠道获取威胁情报服务提供商提供的威胁情报仪表盘,包括威胁描述、严重性、来源、目标、影响和更新信息。这种交付模式的优点是可以提供直观、动态、交互的威胁情报,适合需要监控和理解威胁态势或趋势的客户。但是,这种交付模式的缺点是可能需要更多的技术、设备和资源,以及与服务提供商的集成和兼容的问题。
-
威胁情报APIs:这是一种灵活的交付模式,客户可以通过应用程序编程接口(API)获取威胁情报服务提供商提供的威胁情报数据,包括原始数据、加工数据、分析数据等。这种交付模式的优点是可以提供定制化、适配化、自动化的威胁情报,适合需要与自己的系统和工具集成的客户,缺点是可能需要更多的开发、维护和更新,以及与服务提供商的协议和标准的问题。
-
定制情报服务:一些提供商提供定制服务,根据客户的特定需求定制威胁情报。这可能包括针对特定行业、地区或特定类型的威胁的深入分析。
-
互动式服务:提供商可能提供互动式服务,如威胁情报研讨会、培训和咨询,帮助客户更好地理解和应用收到的情报。
威胁情报服务质量评估方法
市场上有许多威胁情报服务提供商,每个提供商都有自己的优势、劣势和专长。在选择威胁情报服务提供商时需要考虑的一些因素包括:
-
覆盖范围:指威胁数据和情报的范围和深度。需要评估威胁类型、威胁行为体、地区和行业覆盖范围,以及提供全面和详细的威胁分析。
-
质量:指威胁数据和情报的准确性、相关性和及时性。需要评估情报是否为可靠和经过验证的来源,是否有应用严格和一致的方法论,并提供最新和可运营的情报。
-
可用性:指威胁数据和情报的访问和集成的便利性。需要评估厂商是否具备灵活和方便的交付方法,是否有用户友好和可定制界面,以及兼容和可互操作的API。
-
支撑能力:指威胁情报服务提供商能够提供的帮助和指导的水平和类型。评估厂商能否提供响应迅速和专业的客户服务、专家和专门的分析师,以及主动和协作的威胁情报共享。
总结
随着网络威胁的不断演变和增加,网络威胁情报服务已成为现代企业不可或缺的一部分。这些服务不仅提供关于当前和未来威胁的关键洞察,还帮助企业制定有效的防御策略,确保他们能够在日益复杂的网络环境中保持一步领先。
选择合适的威胁情报服务提供商对于任何希望提高其网络安全防御能力的组织至关重要。一个有效的威胁情报服务不仅能够提供及时和相关的情报,还能够通过深入的分析和专业的支持,帮助企业制定和执行有效的安全策略。随着网络安全威胁的不断发展,企业必须保持警惕,并利用所有可用的资源来保护自己免受这些威胁的影响。
原文始发于微信公众号(朱雀先进攻防):揭示威胁情报服务的核心价值与选择策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论