最近,安全业界备受关注的信息安全标准 ISO 27002 标准将于2022年3月发布,其中增加了威胁情报的内容,笔者花了几分钟摘抄了一些分析文章的的细节(非原创),希望能帮助大家提升安全方面的认知。
为了企业能够正确使用威胁情报,ISO建议组织机构考虑三层标准情报,即战略、战术和运营。
-
战略威胁情报:交换有关不断变化的威胁形势的高级信息,例如攻击者的类型或攻击活动类型
-
运营威胁情报:有关攻击者实施攻击的具体方法、工具和技术的信息
-
战术威胁情报:有关特定攻击活动的详细信息,包括IOC等传统的失陷指标
威胁情报的主要目的和目标是让安全团队更了解组织机构的安全风险,了解整体的安全威胁态势,更早地了解具体的安全威胁,并使他们能够从被动防御转变为主动防御。为了更深入地理解这一点,笔者通过以下三层解读:
战略
-
通过了解整体的网络和物理(近源)威胁形势,将网络和物理威胁融合,相关的威胁需要达到足够影响行业及同行,以及特定行业组织机构的高度,以创造决策优势价值
-
能够根据情报提供的战略优先级做出明智的安全架构和预算决策
-
创建和跟踪与组织机构的安全战略和目标相一致的优先情报要求
-
完整的情报和特别定制的报告,以帮助决策者了解风险并确定风险优先级,并做出更好、更明智的决策
-
识别组织机构应该意识到的新出现的威胁、TTP 和威胁组织
运营
-
通过已验证的技术情报了解特定攻击的威胁角色、威胁指标和TTP 之间的关系
-
将威胁情报映射到 MITRE ATT&CK 等通用威胁知识框架,以对威胁行为进行分类、评估安全漏洞并与网络安全社区共享情报
-
多种来源的综合情报,不仅可以了解技术细节,还可以了解威胁和最新安全事件的各个方面
战术
-
高价值的失陷指标 (IoC) 可以直接集成到安全产品中,使安全团队的分析师能够在其已建立的工作流程中深入分析情报关联的上下文
-
针对威胁角色和恶意软件可供搜索和检测的规则,可以在安全数据中主动搜索威胁
-
可以实时洞察行业和组织机构自身面临的当前和新出现威胁的威胁情报源
原文始发于微信公众号(QZ的安全悟道):威胁情报的三个准确定义
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论