关键信息是将情报缩小到组织中的工具和数据,而不是获取只会减慢进程的情报。
企业若希望遏制数据泄露和攻击的浪潮,通常会最终购买威胁情报平台 (TIP)。TIP 可以采取多种形式,包括基于云的托管服务或紧密耦合的工具集,后者通过将威胁检测、事件响应和漏洞管理结合在一起,提供更广泛的风险管理方案。目前有十多家供应商提供 TIP。成功使用这些工具的关键在于了解它们的功能,并根据自身环境和安全复杂程度进行匹配。此外,还要能够将它们与其他安全工具和防御措施集成。
人们在考虑这些工具时,经常会犯一些错误,包括缺乏完善的风险管理方案、依赖糟糕的威胁情报、收集错误的需求或不合适的威胁来源,以及在选择合适的工具时缺乏战略性。现在,我们将深入探讨更具体的技巧,以便最成功、最有效地购买和使用 TIP。
注重情报质量而非数量
首先,您需要检查用作源材料的实际威胁源,以及正在处理多少个不同的源。这意味着不应只关注总数,而应深入研究正在收集的数据,并了解 TIP 如何整合这些威胁,如何用各种元数据丰富它们,以及如何将它们编入易于查询的数据结构中。
威胁情报语料库支持各种协议,例如可信自动指标信息交换 (TAXII ) 和结构化威胁信息表达 (STIX) ,使得这种丰富功能得以实现并更加有效,这两者都支持传输更丰富的元数据和细节信息。STIX 定义了潜在威胁的“内容”,而 TAXII 定义了威胁发生的“方式” 。这两项标准由结构化信息标准促进组织 (OSI) 维护。两者结合,可用于描述每种威胁的动机和能力,并提供建议的应对措施,并可用于驱动各种自动化处理和协作补救活动。
数据充实过程的一部分还包括规范化收集到的重复威胁,并过滤掉任何误报或不相关的数据。例如,如果您的终端上没有特定的 Windows 版本,则无需包含包含所有特定 Windows 版本的威胁源。许多 TIP 使用各种自动化和基于 AI 的例程来过滤其威胁源。这可能是一把双刃剑:可能会获得更多数据,但也需要过滤掉更多噪音。
确保你掌握的信息不会超过你需要的
接下来是匹配阶段:如果您的信息安全部门规模较小、技能有限,或者计算环境相对简单,那么最复杂的威胁情报 (TIP) 可能就显得有些过度了。根据 Greynoise 的 2025 年报告 ,威胁源必须在多样性、潜在威胁的复杂程度以及云和端点的多样性和复杂性方面与您的自身环境相匹配。
正如许多分析师所写,这包括能够查看来自计算和应用程序基础设施的虚拟和物理元素的威胁。曾在多家安全供应商工作过的 Stuart Peck 写道 :“了解威胁形势不仅仅是关注威胁本身,还包括了解直接影响或促成威胁实现的外部和内部因素。”
如何管理事件后工作流程
更好的 TIP 可以协调任意数量的响应和缓解措施,以阻止威胁并修复由受损计算元素引起的问题。“威胁情报的价值与其获取、处理、优先排序和采取行动的效果直接相关,”Cyware 在其报告中写道。这意味着需要将其精心集成到您现有的安全工具中,以便您可以利用之前在 SOAR 、 SIEM 和 XDR 等缩写上的所有投资。根据 Greynoise 的报告,“您必须将 TIP 嵌入到您现有的安全生态系统中,确保关联您的内部数据并使用您的漏洞管理工具来增强您的事件响应能力并提供可操作的分析。”
最后一句的关键词是“可操作性”。威胁情报往往无法指导任何行动,例如启动一系列补丁来更新过时的系统,或采取补救措施来防火墙特定网段,或关闭有问题的设备。
切实可行的行动还在于关注两个不同指标的时机。首先,随着漏洞利用的快速实施 ,这些信息应该能够缩短检测和修复之间的时间。其次,这些信息应该能够揭示和理解哪些威胁正在实时发生,以及哪些威胁可以被挫败或快速阻止。
拥有可操作的情报能够将潜在威胁可视化。ThreatConnect 2023 年的一份报告指出:“能够在动态可视化环境中直接根据情报采取行动,对于提高分析效率和效果至关重要。可视化分析使分析人员能够发现模式并找到在其他媒介(例如数据表格)中可能难以发现的联系。”
可视化分析的另一部分在于威胁仪表板如何以实用且可操作的方式显示这些信息。最佳仪表板能够显示实时趋势或异常情况。例如,仪表板可以显示服务器何时遭受 DDoS 攻击,或某个网段上的一组资源何时下线。可视化流程还包括确保您的组织已定义 TIP 的成功指标,通常以检测威胁和减少后续事件的速度来衡量。
所有这些要素对于将威胁情报纳入安全运营至关重要,Recorded Future 的 Esteban Borges 在 2024 年撰写了一篇文章,其中谈到将这些情报分为三个基本类别之一:
-
战略性或更高级别的见解,以及识别趋势 -
战术,或特定威胁背后的更多机制 -
运营,提供更多实时或近乎实时的分析
诚然,这是一个微妙的平衡之举,因为实际上你需要触及所有三个类别才能妥善保护你的基础设施。这里的部分挑战在于,如何防止各自为政,各自为政,制定适当的补救措施。“我一次又一次地看到,威胁情报团队甚至漏洞管理团队会发出有关高优先级威胁的快速通知,但由于威胁团队没有跟进,它最终被遗漏在队列中。解析器组的行动与威胁团队的跟进同样重要,”Peck 在博客中写道。例如,一次网络钓鱼尝试可能只是一个战术问题,直到你的 TIP 标记出类似的事件,这些事件显示出持续存在的针对性攻击证据,这可能意味着需要做出运营调整来应对这些尝试。背景很重要,而 TIP 可以帮助提供这一点。
了解人工智能增强工具的工作原理
一些 TIP 供应商使用 AI 增强工具和其他自动化技术来管理其工作流程。鉴于 AI 如此流行,这意味着您必须了解这种自动化机制的构建方式及其局限性。例如,其中一个局限性可能是 AI 软件如何通过从威胁源中获取数据进行学习。如同任何 AI 的应用一样,细节决定成败。Niko Dekens 根据多年为荷兰执法部门进行的调查经验,将此称为 “AI 导致的批判性思维的缓慢崩溃。基于 AI 的工具应该引发怀疑,而不是满足感。分析师需要质疑 AI 的主张,并将其输出与现实世界的源行为进行比较。”这是一个重要的区别,需要始终牢记于心。
如果这一切看起来工作量很大,那是因为确实如此。TIP 并非一款评估和使用都简单的产品,而管理威胁意味着您必须考虑基础设施、应用程序和服务器的所有入口点。
原文始发于微信公众号(独眼情报):成功使用威胁情报的重要技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论