網絡風險就是商業風險。企業正在數字化，政府正在制定政策，推動數字化和智慧城市項目。雖然這有助于公民和組織采用技術進步，但網絡攻擊的頻率和復雜性都在不斷增加，這對必須保護自己的數據和系統不受威脅者攻擊的組織構成了重大挑戰。

大多數組織已經將其IT安全管理任務外包給MSSP(托管的安全服務提供者)，很少有組織仍然保留其內部SOC(安全操作中心)。這些組織通常只從安全設備監視管理服務(如托管的防火墻服務)開始，然后使用SIEM解決方案組件緩慢地添加安全事件監視。日益增長的威脅形勢和雇傭具有所需專業知識的安全網絡安全專業人員的難度，使得組織更難理解對手使用的工具、技術和戰術。

網絡威脅信息共享的需要

最近，政府和組織對網絡威脅情報的需要有了更好的理解。NIST鼓勵組織間更多地共享網絡威脅信息。

在當今的大型安全產品和服務行業中，防火墻、端點保護和托管安全服務(MSSP)等產品通過威脅情報功能得到了增強。威脅情報循環有關鍵步驟，如下圖所示。

Gartner認為，“威脅情報是基于證據的知識，包括背景、機制、指標、含義以及針對現有或正在出現的威脅或資產風險的行動建議。這一情報可以用來通知有關主體對這種威脅或危險的反應的決定。”

為安全行動提供網絡威脅情報

通常，組織需要快速檢測威脅，并且不希望浪費時間調查假陰性警報，從而更快地修復漏洞和減輕攻擊向量。安全運營中心存在的典型問題有

我們的敏感信息泄露了嗎

在未來幾個月里，哪些威脅行動者可能會針對我的組織的能力

誰是我最大的敵人?他們是可信的嗎?

我可否在事件發生后的短時間內得知他們的活動?他們經常去哪些地下場所?已知誰與這些對手有關聯?

連接到此Internet協議(IP)地址是壞的嗎?誰擁有知識產權?這個IP地址連接到哪個internet服務提供商(ISP) ?這家公司還注冊了哪些IP地址?

這個URL危險嗎?誰注冊的域名?他們注冊了其他人嗎?如果是，是哪些?本網站提供哪些類型的威脅?是否有其他惡意活動鏈接到此URL?

我的環境中的哪些漏洞正在“野外”被積極地利用?誰是銷售或使用這些漏洞的威脅行動者?哪些惡意軟件和其他威脅正在利用這些漏洞?哪些類型的組織正受到這些威脅的攻擊?

這是“零日”攻擊的謠言是真的嗎?

壞人對我的組織和員工了解多少?他們是在銷售訪問我的系統還是我的知識產權?

如果網絡威脅情報信息源能夠提供上述問題的答案，它就能讓安全團隊更有效地應對威脅。

在當今的安全操作中心，利用網絡威脅情報進行安全遙測濃縮的用例

采用以用例為中心的觀點仍然是SOC開始網絡威脅情報之旅和改進整體安全計劃的理想和實用方法。一些用例/例子包括:

SIEM工具集成，用于維護帶有從現有SIEM流入的現有日志的威脅監視列表。威脅情報數據重疊在現有日志之上，通過匹配折衷指標(IOCs)來檢測威脅，例如IP地址、文件哈希和域名(例如:IBM XForce威脅情報、EclecticIQ的融合中心、Anomali)。

威脅情報是有利于國內流離失所者(入侵檢測和保護)近年來,和許多客戶報告改進的檢測和阻斷功能的一系列威脅直接啟用IDP系統的情報訂閱(例子:趨勢科技的聲譽數字疫苗的TippingPoint國內流離失所者,帕洛阿爾托網絡MindMeld)。

網絡釣魚是一種有害且普遍的威脅，仍然是獲取組織資源的有效途徑。威脅情報可以幫助識別網絡釣魚活動的元素，以加快檢測/響應行動，并幫助采取主動措施，如預防/預測(例如:校對點、威脅連接)。

漏洞管理的優先級已經不再考慮漏洞的嚴重性。相反，首要任務是“你的哪些弱點在野外被利用了”。威脅情報使組織能夠確定哪些漏洞構成了最大的風險(例如:Kenna Security, Recorded Future)。

Surface、“Deep”和“Dark”網絡監控客戶可以使用威脅情報服務提前獲得威脅警告，更好地了解威脅的工作原理和被發現的位置。這有助于他們執行品牌監控(例如:ZeroFOX、Kela靶向威脅情報、間諜云)。

市場上有許多網絡威脅情報服務提供商，而且這個數字似乎還在增長。并不是所有被宣傳為威脅情報的服務都提供這種類型的內容，所以了解客戶想要解決的問題是很重要的。盡管目前市場上既有基于商業的高級服務，也有開源提要，但安全操作需要驗證解決方案，以幫助它們獲取、聚合和根據所需的威脅情報采取行動。

版權申明：圖文來源ISACA，我們對文中觀點保持中立，只以信息傳播為目的，文章版權歸原作者所有，如有侵權，請聯系我們刪除。