网络威胁愈演愈烈,究其原因,是攻击者野心日益膨胀以及攻击本身日渐成熟。保护组织远离网络攻击,通常需要外部专业知识“鼎力相助”。
对安全内行和安全高管而言,威胁情报是一种信息,可以帮助人们更好地洞察网络威胁现状,突破网络物理界限。搜集含金量高、实用性强的威胁情报,要求工作人员专业度高、知识面广、工具齐全。专家必须明确在哪挖掘信息,于千万数据中筛选有用信息,进行整合。这些信息的藏身之处可能会令人大跌眼镜,譬如黑客群体。
威胁情报是基于证据的事实,包括框架、机制、后果、可行建议。威胁情报主要是指组织资产的现存威胁或新生风险,可以用来制定决策,决策要视威胁、风险应对措施而定。
为什么需要威胁情报?
各大组织面对威胁处理问题都深感压力重重。然而,可获取的信息太过庞杂,从中筛选有用信息费时费力。因此,许多用户和组织寄希望于威胁情报,因为威胁情报可以帮助他们优化威胁警报,提供可行信息。威胁情报可以:
防止经济损失
不论何时,及时制定决策都能帮助防止系统故障,防止加密数据被盗,保护个人知识财产,挽救组织声誉、客户。前期的攻击会令组织损失惨重,后期的事后修复也可能会令你倾家荡产。
支持高效利用IT资源
筛选威胁情报费时费力。大部分组织人手不足,缺乏专业人员,不能迅速生成相关信息。与其调动内部资源、有组织地生成情报,不如升级情报自动生成平台、将情报整合到组织基础设施中,解放人手投入其他工作。这一做法可以帮助组织节省一大笔钱。
帮助用户合理投资基础设施
威胁情报可以帮助用户制定基础设施及商务投资决策。例如,当你发现来自特定地理位置的连接请求增加,即可考虑投资一种工具,应对这一问题。
为了抵御组织面临的风险和威胁,威胁情报团队应当做好准备,制定计划、找出组织情报的潜在威胁。如果你想打造一支团队,从而可以高效使用情报保障组织安全,需要考虑许多因素,主要包括:
1. 构建情报优先框架
为了有效利用情报,首先,组织必须建立所需情报库、给予所需情报优先权。为了有效利用情报,组织可以找出存在的情报漏洞,规划请求,然后将符合组织框架的请求进行分类处理。
2. 整合情报来源
搜集情报、保障组织安全,可以参考以下来源:
-
技术来源:包括入侵检测系统(IDS)、防火墙、二代终端安全、多台设备 日志文件。
-
开源/免费来源:来源类包括已发表的供应商报告、白皮书、供应商漏洞列表(微软、苹果、Adobe等等),工具类包括AlienVault OTX以及其他媒体来源。
-
闭源:包括团队邮件列表或组织邮件列表(例如信息共享与分析中心)
-
付费情报反馈
3. 分析情报收集情况
搜集到的情报需要储存在可搜索数据库中。同时,需要使用组织活动的相关信息。信息经过分析之后,可以帮助制定决策、实施行动。例如,设置防火墙拦截或创建事件日志,制定IDS规则,拦截终端入侵防御系统中的散列。
4. 专业威胁情报人员
雇佣情报分析专家。情报分析专家可以审查入境情报、撰写分析报告,这对大型组织而言十分关键。搜集新情报后,专家可以评估这些情报是否对组织有价值、阐明情报价值所在、确定情报适用对象、围绕可能发生的重要情况进行有据分析。IT预算较少的小型企业可能需要依赖上述免费威胁情报和开源威胁情报。
5. 根据受众改良成品
最后,高效、可行地分配情报是情报团队的首要任务。特定时期内分析、搜集的情报需要进行周际甚至是每日传送,帮助情报团队进行跟踪记录。除此之外,情报产品应该根据受众量身定制,且必须包括帮助受众高效运作的信息。
结论
威胁情报团队可以帮助大型组织提供业务相关潜在攻击来源的实时信息。因此,对大型组织而言,拥有精良的威胁情报团队至关重要,可以帮助他们规避攻击与风险。小型组织需要推陈出新,寻找开源情报来源和免费情报来源。或者,他们可以使用整合工具,将威胁情报并入安全解决方案之中,使用统一标准检测威胁、应对威胁。
原文链接:https://www.alienvault.com/blogs/security-essentials/how-to-prepare-an-effective-threat-intelligence-team
编辑:神州网云(北京/威海)