洋葱式信息安全观察:5家厂商的威胁情报成熟度模型简述

围观次数:2,543 views

威胁情报应用已久,如何用好威胁情报,让我们一起来看看各家的威胁情报成熟度观。

Recorded Future

Recorded Future认为威胁情报成熟度应当围绕目标、资源和能力三个关键因素展开。针对以上三个因素,Recorded Future发布的威胁情报成熟度调查表中表现出如下特色:

  1. 关键决策者是否参与了威胁情报治理并及时获得反馈
  2. 企业对威胁情报的态度,从积极到被动分为5个阶梯
  3. 关注内部威胁情报和外部威胁情报的区分
  4. 关注从操作类情报、战术情报到战略情报应用
  5. 威胁情报的使用范围,包括管理范围和安全工具对接
  6. 是否能够持续的保持威胁情报的管理和使用
  7. 关注对暗网情报的挖掘能力

EclecticIQ

EclecticIQ威胁情报成熟度模型中,围绕如下三个核心展开:

  1. 与业务和威胁现实保持一致,包括管理干系人、需求和威胁意识
  2. 分析能力,包括管理资源、分析和生产威胁情报、共享
  3. 对分析结果的控制和行动能力,包括传播威胁情报和整合威胁情报

EclecticIQ 的威胁情报成熟度模型将以上核心分解为8个不同威胁情报领域的能力,以帮助企业在整体运营中减少不确定性和风险。它们分别是:干系人、需求、意识、资源、分析和生产、资源管理和情报收集、传播、整合。示例如下:

EclecticIQ威胁情报成熟度模型

在该成熟度模型中,EclecticIQ将成熟度分为5级,侧重于管理成熟度,其核心思想是从缺乏管理到可持续优化的逐步提高。

ThreatConnect

ThreatConnect威胁情报成熟度分为5级(0-4),分别为:

0级:不清楚如何开展威胁情报工作

1级:已开展威胁情报工作,处于此成熟度级别的组织开始了解威胁情报,并与SIEM相关联。

2级:扩展威胁情报能力,主动识别可用于行动的威胁情报,这些情报解决了攻击者、攻击原因,以及绘制上下文和连接,并进一步细化威胁知识。

3级:开始建立基于威胁情报的网络安全运营能力,并建立结构化团队,能够使用战略分析方法。

4级:良好定义的威胁情报程序,具有正式定义的流程和自动化工作流,可生成可操作的情报并确保适当的响应。通常拥有 SOC,并且将从被动响应计划转变为由情报驱动的 SOC。

ThreatConnect威胁情报成熟度

LogRhythm

LogRhythm发布的安全情报成熟度模型(SIMM,Security Intelligence Maturity Model)的核心思想在于两个关键标准:

  1. 平均检测时间(MTTD:Mean-Time-to-Detect),发现威胁所用的平均时间,包括进一步的分析和响应时间。
  2. 平均响应时间(MTTR:Mean-Time-to-Respond),分析威胁消除风险的平均时间。

LogRhythm威胁情报成熟度

LogRhythm威胁情报成熟度分为5级(0-4):

0级:MTTD以月计,MTTR以周或月计

1级:MTTD以周或月计,MTTR以周计

2级:MTTD和MTTR两者都以小时或天计

3级:MTTD和MTTR两者都以小时计

4级:MTTD和MTTR两者都以分钟计

天际友盟

天际友盟的威胁情报成熟度模型关注企业的威胁情报技术应用,围绕企业对威胁情报的应用能力分为4个领域和5个成熟级别。4个领域分别包括:战略与文化、组织与人员、技术与工具、制度与流程。5个级别从企业对威胁情报的应用能力上分为消费级、融合级、聚合级、优化级和自适应级。

天际友盟的威胁情报成熟度模型认为,在企业实践中选择适合自己的等级目标尤为重要,通过“量体裁衣”可以让企业在预期的费效比上构建自己的威胁情报能力。

  1. 消费级:处于消费级的企业购买商业威胁情报,将商业威胁情报应用于现有网络安全设备或系统。
  2. 融合级:能够将外部威胁情报与内部威胁情报相结合,实现“知己知彼”。
  3. 聚合级:引入多源商业情报并进行聚合,具有情报质量分析和管理能力,
  4. 优化级:能够对优质的多源情报进行聚合,同时具备开源情报进行的收集、分析和应用能力。
  5. 自适应级:威胁情报应用能力可以做到自动化闭环应用,可以与安全设备互动,形成无需人工干涉的情报生产、情报消费的闭环,情报生产到消费的时间周期大大缩短。

小结

威胁情报,和网络安全其他要素一样,需要被纳入到网络安全治理中,才能发挥其至关重要的作用,而威胁情报成熟度是威胁情报治理的最重要一环。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助