•战术情报——这是“网络”行动发生的地方,该情报专门供防御者改进检测和响应技术
•作战情报——该情报比战术高一级,重点关注即时作战环境,并且更关注对手
•战略情报——对于高级管理层来说,该情报用于衡量网络风险并指导正确的投资和风险管理决策
选择情报产品是一个不应轻易做出的决定
选择合适的情报供应商在很多方面就像大海捞针一样。几乎有无数的供应商和看似无穷无尽的情报产品。鉴于这些条件,即使是最资深的专业人士也很容易忽视其组织的需求,更重要的是,如何评估哪个供应商或产品最适合这些需求。
那么什么是网络威胁情报?
归根结底,网络威胁情报应该让您的组织专注于做出更好的决策并采取正确的行动。每个组织都已经在使用情报,但以商业智能的形式使用,评估有关财务、客户、物流、产品以及企业需要做出决策和采取行动的任何其他领域的信息。对网络威胁情报的需求没有什么不同,因为每个组织都依赖技术向最终用户提供其产品和服务,并且需要评估这些网络风险。
![评估情报供应商需要考虑的关键问题 评估情报供应商需要考虑的关键问题]()
以下问题旨在帮助安全和风险专业人员准确评估情报供应商和产品:
1. 提供什么类型的情报?
情报产品如此之多,对于潜在消费者来说,了解供应商实际提供了哪些情报(如果有的话)非常重要。人们可能从供应商那里听到的常见答案包括:
● 威胁情报:这通常用作涵盖许多其他类型情报的总称。由于并非所有这些类型都是平等创建的,因此潜在消费者进行更深入的挖掘至关重要。
● 网络威胁情报(CTI):长期以来,CTI 一直是任何网络防御或周边安全计划成功不可或缺的一部分。但由于 CTI 主要关注网络威胁检测和危害指标 (IoC),因此通常只适合支持战术网络安全用例。
● 业务风险情报(BRI):与CTI 不同,BRI 提供战略决策优势,不仅支持网络安全团队,还支持所有业务功能。因此,BRI 适合寻求支持各种用例并解决企业范围风险的组织。
2. 使用哪些数据源来生成情报?
最好的情报来自相关的高价值数据源。事实上,网络(通常是物理)威胁格局的主要方面往往是在各种地下社区的范围内产生和发展的。通常,只有在潜在威胁成为有形的安全事件或漏洞之后,威胁存在的任何迹象才会到达开放网络。
尽管深网和暗网 (DDW) 和开放网络数据在某些情况下很有用,但最成功的情报供应商认识到,最重要的是拥有技术和主题专业知识,以便能够从最关键的环境中大规模收集数据在互联网上,其中许多极难访问并驻留在 DDW 中。这种细微差别就是为什么潜在消费者了解生成情报产品的数据源很重要。
3. 有多少情报分析师?他们的资格和专业领域是什么?
供应商分析团队的规模和能力可以帮助揭示其情报产品的质量和相关性。通常,缺乏人工分析师的供应商需要严重依赖自动化来生成数据,但这种方法将数据情境化为客户的智能。虽然供应商应该努力实现日常数据收集等日常任务的自动化,以便分析师可以专注于复杂的问题解决和分析,但仅仅依赖自动化的供应商根本无法真正产生情报。将原始数据解释、情境化和处理为情报需要大量的人类专业知识,而这些专业知识无法被纯粹的自动化有效取代。
例如,DDW是无数社区的所在地,对手聚集在那里并制定恶意计划。由于许多对手不使用英语进行操作,因此供应商的情报分析师需要具备必要的语言技能。在许多情况下,仅仅精通俄语、阿拉伯语、普通话、土耳其语、波斯语、西班牙语、法语和其他语言是不够的——分析师还需要对文化细微差别、社会规范、习语、不同DDW社区中存在的俚语和俚语。尽管人工智能和其他自动化技术取得了令人鼓舞的进步,但此类工具尚无法模仿人类的专业知识水平。
4. 客户如何消耗情报?
当智力“完成”时,它最容易、最有效地被消耗。事实上,最终的情报源自相关数据,这些数据已经过情境化、深入分析,并与支持决策和刺激行动所需的所有细节一起打包。换句话说,完成的情报本身就是可操作的,并且不需要用户在做出决定之前寻求额外的背景或分析。
然而,并非所有供应商都提供成品情报。许多人只专注于提供妥协指标 (IoC) 和关键字警报。这些产品虽然有价值,但往往要求客户进行额外的研究和分析,以确定IoC或警报与其组织的相关程度。
5. 情报支持哪些类型的用例?
不同类型的智能通常适合不同的业务功能和用例。例如,正如我提到的,CTI可以支持网络安全和IT团队,而BRI则更具战略性和多样性。在评估任何供应商或产品时,不仅要考虑组织当前的智能需求,还要考虑随着业务的长期增长、扩展和发展,它们可能会如何变化。了解供应商的客户中常见的用例类型可以进一步深入了解情报产品是否适合组织。
除了支持传统的网络安全用例之外,正确的情报还可能有助于揭示,例如,试图损害执行团队人身安全的恶意行为者、恶意内部人员构成的威胁、公司供应链中存在的未知安全漏洞或新兴的安全漏洞。针对您公司客户的欺诈计划。
最终,情报供应商的格局将始终是复杂且成熟的,提供看似难以区分的产品。上述五个问题可以帮助安全和风险专业人士更好地评估产品与组织需求的契合程度,但我必须强调,选择情报产品是一个不应该掉以轻心的决定。无论组织选择使用哪种类型的情报,请记住,其价值不在于其营销方式,而在于情报支持及时有效的决策的程度。
评论