网络威胁情报 (CTI) 考虑了网络威胁的完整背景,以便为高度针对性的防御行动的设计提供信息。CTI 结合了多种因素,包括网络犯罪分子的动机和危害指标 (IOC),以帮助安全团队了解和准备应对预期网络威胁的挑战。通过让安全团队提前了解即将发生的网络威胁,网络威胁情报鼓励采取积极主动的网络安全方法——最有效的网络防御类型。
网络威胁情报与其他类型的网络情报有什么区别?
传统的网络情报计划对网络安全采取了广泛的方法。他们的目标是改善 IT 网络的安全状况,以提高其抵御所有类型网络威胁的能力。这可能包括解决软件漏洞、在整个威胁环境中部署安全控制以及监控攻击向量。
另一方面,网络威胁情报的主要目标是帮助安全团队针对每个特定的网络威胁定制防御措施。网络威胁情报不是独立的网络攻击防御策略。这种防御策略的动态特性与更静态的攻击面管理方法相得益彰。当协同使用时,由此产生的方法是一个全面的网络安全计划,符合不断变化的威胁形势。
为什么网络威胁情报很重要?
网络威胁情报至关重要,因为它是防御高级持续性威胁 (APT)的最佳方法之一。
- 高级持续威胁是一种长期的网络攻击活动,网络犯罪分子隐藏在被破坏的网络中以持续监控和窃取敏感数据。
APT 恶意软件比勒索软件等其他恶意软件更复杂。此外,与网络钓鱼活动不同,APT 攻击主要不是自动化的。它们由有组织和复杂的网络犯罪集团管理。
为了应对这些解决问题、制定战略和规避网络威胁的防御措施,您需要领先他们一步,而这只有在运营威胁情报揭示他们的策略和可能的后续步骤时才有可能。组织开始认识到战略威胁情报可能带来的网络弹性的广度。大约 72% 的企业计划增加其威胁情报计划预算。尽管越来越多的组织认识到威胁数据的好处,但很少有人了解如何充分利用其洞察力,而只使用威胁情报数据馈送来支持防火墙和SIEM 功能。
当了解和利用威胁情报工具的潜力时,安全专业人员可以:
- 做出明智的事件响应决策
- 了解黑客的决策过程
- 通过情报报告向 CISO、利益相关者和决策者证明安全运营的有效性
- 了解即将发生的网络攻击的策略、技术和程序 (TTP)
威胁情报框架
威胁情报框架由代表三种不同类型威胁情报的三个支柱组成:
- 战术情报
- 运营智能
- 战略情报
与其一次性实施威胁情报计划的全部范围,不如从关注每种单独类型的威胁情报开始。这不仅会简化整体实施过程,而且自然会导致开发最全面的威胁情报程序。
支柱 1:战术威胁情报
战术情报组件强制考虑每个威胁的更广泛背景,而不是仅仅将每个威胁视为独立事件。战术情报考虑妥协指标 (IOC) 和攻击指标 (IOA)以在不久的将来创建威胁情景。这包括:
- 可疑的 IP 地址
- 文件哈希
- 恶意域名
由于此威胁情报类别中的数据收集非常简单,因此理想情况下应该使用机器学习安全解决方案实现自动化。旨在识别尽可能多的自动化机会。这将建立一个可扩展的网络威胁情报基础,从而为未来的成功进行优化。
战术威胁情报数据馈送应该:
- 考虑每个数据类别的生命周期,以尽量减少误报。恶意IP地址和域名等数据不断变化,因为黑客不断更新它们以逃避检测。
- 自动化恶意软件检测。
- 让安全团队了解最新的威胁。
- 包括不断更新的国际奥委会提要。
支柱 2:运营网络威胁情报
如果战术威胁情报馈送是支持响应团队的唯一数据集,那么未来的攻击不太可能被拦截。这是因为可能被利用的特定 IOC 仍然未知。网络威胁情报的操作组件通过分析已知的网络犯罪分子来识别他们可能的攻击方法来解决这个问题。该组件不能完全委托给开源提要和机器学习。需要人类直觉来将战术威胁情报与威胁行为者配置文件相结合,以实时预测可能的威胁行为者运动。
网络威胁情报旨在回答以下问题:
- 谁是可能的网络攻击的幕后黑手?
- 他们为什么要针对我们?
- 他们将如何瞄准我们?
负责监管合规的安全团队从运营情报中获益最多,因为它可以帮助他们优先考虑对安全态势影响最大的风险。风险优先级(例如供应商分层)支持对所有端点和暴露(包括零日攻击)进行更智能的漏洞管理。
支柱 3:战略威胁情报
战略威胁情报进一步拓宽了威胁行为者动机的背景,包括与全球网络犯罪网络的潜在联系。大规模网络攻击,例如无处不在的SolarWinds 供应链攻击,是受特定地缘政治事件驱动的高度复杂的操作。对不断加剧的地缘政治紧张局势的深入了解可能会揭示潜在的网络攻击意图,尤其是在您的国家与相关国家结盟的情况下。
网络威胁情报生命周期
原始数据需要转化为可操作的情报,以生成对网络安全战略有用的数据。这是通过称为威胁情报生命周期的过程来实现的。鉴于威胁形势的不断演变,这是一个具有挑战性的问题。为了保持其相关性,威胁情报生命周期包括一个鼓励持续改进数据质量的反馈循环。威胁情报生命周期的六个阶段概述如下。
1. 指定你的目标
在解决潜在的网络威胁之前,需要制定合理的行动计划。该路线图应基于您的具体网络安全反对意见。您的安全异议取决于您独特的攻击面,因此请确保您对整个攻击面有信心。理想情况下,这应该包括暗网曝光。攻击面监控解决方案将识别您最关键的漏洞,最有可能成为网络犯罪分子的目标。这种情报应包含在您的网络弹性路线图中。
2. 数据收集
明确定义您的反对意见后,您的安全团队就可以设计互补的数据收集策略。
此过程将涉及引用威胁情报的三个子类别:
- 战术威胁情报
- 运营威胁情报
- 战略威胁情报
3. 数据处理
收集到相关威胁情报数据后,需要将其处理成有利于分析的格式。
4. 数据分析
在分析阶段,安全团队确定支持步骤 1 中指定的整体安全反对的潜在响应工作。
5. 传播
通过分析威胁情报数据并确定必要的响应工作,安全团队现在可以告知利益相关者他们拦截即将发生的网络攻击的计划。这种通信通常采用简洁的单页报告的形式,没有网络安全深奥的内容,以鼓励利益相关者的信任和认可。
6. 反馈
在反馈阶段结束之前,威胁情报周期是不完整的。反馈循环至关重要,因为它可以确保威胁情报数据保持更新和相关。反馈机制还将确保您的威胁情报计划对利益相关者和决策者的任何即兴方向变化保持敏感。
网络威胁情报和 APT 攻击生命周期
在APT 攻击期间,威胁行为者在渗透、扩展和数据提取之间循环,因为他们更深入地向敏感资源的网络埋藏。网络威胁情报是 APT 防御中的宝贵资源,因为它是为数不多的适应黑客活动的安全控制之一。将多个网络威胁情报源集成到 APT 攻击生命周期中,可以预测和阻止 APT 黑客进入其攻击序列的下一阶段。