组织必须采用威胁情报(TI)产品来避免严重的安全漏洞,因为它们提供了对威胁的重要洞察,从而实现了强大的安全措施。本说明指导安全和风险管理领导者从同行在 Gartner Peer Insights 上分享的实施经验中学习。
市场描述
TI市场为组织提供产品和服务,以了解和减轻网络安全风险,增强威胁检测、事件响应和暴露管理能力,同时改善整体安全态势和运营效率。
我们分析了 234 篇 Peer Insights 评论,以找出实施威胁情报产品和服务时的经验教训。本报告重点关注以下问题的答案:“如果可以重新开始,组织会做哪些不同的事情?”和“会给其他潜在客户什么建议?
同行的经验教训
“同行的经验教训”总结了客户在实施TI 产品和服务方面的亲身经验。同行建议既来自成功的实施项目,也来自基于过程中出现的问题的学习。同行观点以及个人详细评论是对专家研究的补充,并为实施过程提供了整体视角。以下是同行见解评论者的一些关键经验教训和最常被引用的建议,旨在帮助安全和风险管理 (SRM) 领导者实施其TI 产品和服务(参见图 1 了解主要主题)。
图 1. 安全威胁情报产品和服务实施方面的同行经验教训
第1课:了解组织的网络安全需求;获得利益相关者的支持以实施
同行建议 SRM 领导者通过进行详细评估并让利益相关者参与流程以获得他们的支持来定义组织的网络安全需求和目标。他们敦促审计现有流程中的漏洞,以确定特定的TI 用例。
同行建议包括:
-
对贵组织的网络安全态势进行全面评估,包括现有的安全措施。收集有关面临的威胁类型和所需情报级别的详细信息。这将有助于概述特定的TI 用例并为 TI 产品设定明确的目标。
-
从一开始就让关键利益相关者(包括信息安全团队)参与进来,以确保他们的支持。这还将提供对潜在漏洞的全面洞察,并确保在下一阶段选择的TI 产品能够有效满足跨职能安全需求。
-
让计算机安全事件响应小组 (CSIRT) 收集与攻击媒介相关的趋势和策略的全球情报。这有助于了解威胁行为者的运作方式并发现安全基础设施中的漏洞,能够加强对潜在威胁的防御。
同行评审专家的代表性观点:
我们将从安全策略开始。建议优先对网络安全需求进行全面的初步评估。这将能够从一开始就根据独特的业务需求定制TI 实施。
—制造业 IT 安全与风险管理专业人士
了解 TI 的基础知识并打下坚实的基础。与利益相关者和 CSIRT 合作,了解组织可能面临的数字风险和威胁,并确保他们认同。
—零售业 IT 安全与风险管理专业人士
第 2 课:运行 POC;检查 API 和 ITSM 工具集成以选择最佳TI产品
同行建议 SRM 领导对潜在的TI 产品进行概念验证(POC),以检查它们是否符合组织需求。他们进一步建议评估产品的集成能力,尤其是与 API 和 IT 服务管理 (ITSM) 工具的集成能力,以管理风险。
同行建议包括:
-
通过执行全面的 POC 筛选TI 产品。探索其特性和功能,并确保它们符合特定的业务需求和期望。在最终确定产品之前,请检查其后端和研发团队、查询响应时间、市场存在以及现有客户的反馈。
-
调查TI 产品在暗网监控和数据抓取方面的能力,因为它们可以发现与组织相关的非法活动和泄露数据。通过将暗网洞察集成到安全策略中,组织可以更好地预测和降低风险,确保对新兴威胁提供强有力的保护。
-
通过重新评估过去的事件(例如组织或行业内发生的数据泄露、网络钓鱼攻击、恶意软件感染或内部威胁)来评估TI 产品,以检查其网络威胁情报报告能力。这种回顾性分析将有助于确定产品是否有效应对相关威胁并为主动安全措施提供及时、准确的信息。
-
探索TI 产品与 ITSM 工具的集成选项。此集成将自动将 TI 数据流到事件管理流程中,从而改善安全团队与 IT 运营团队之间的协作。通过将 TI 直接纳入事件工单,组织可以确保更快、更明智的决策并高效地解决安全事件。
-
检查TI 产品与 API 的集成,因为 API 和 TI 可以通过提供有价值的威胁数据来增强攻击面管理 (ASM)。ASM 涉及识别和管理内部和外部互联网连接资产上的潜在攻击媒介,使其成为保护组织安全基础设施的关键过程。
-
确保所选的TI 产品符合当地法规和法定准则,尤其是有关数据隐私和安全的准则。验证供应商是否拥有必要的资源并了解当地法规,以支持组织的合规性需求。
同行评审专家的代表性观点:
评估TI 市场并与多家供应商和服务机构开展 POC 测试。这是确定所提供的产品/服务是否适合组织的好方法。
—服务业综合管理专业人士
评估潜在TI 产品与API 和现有 ITSM 生态系统的集成,以实现全面的报告、分析和资源优化,从而专注于更具战略性的任务。
—零售业 IT 安全与风险管理专业人士
第 3 课:在产品采用之前通过强大的 TI 培训吸引用户和 SOC 团队
同行表示,投资TI 培训计划,为最终用户和安全运营中心 (SOC) 团队提供培训,是减少实施错误的关键因素。他们强调,利用实践学习和社区支持来接受新的工作流程非常重要。
同行建议包括:
-
让最终用户和整个 SOC 团队参与流程。对他们进行全面的 TI 产品安全功能培训,以简化实施流程并加强网络安全工作。
-
提供高级TI 产品培训资源,例如查询培训和认证课程,以加深用户的理解。这将帮助用户微调告警和搜索,确保他们从产品中提取最相关的信息。
-
组织培训,包括实践课程和持续学习机会。在实际环境中使用 TI 安全产品可提高用户有效导航和自定义产品的能力,同时持续学习可让他们了解新功能。
-
利用供应商客户成功经理的指导提供教程,帮助团队完成设置过程。与TI产品社区和支持资源互动,了解最佳实践并深入了解有效使用方法。这种互动还将提供宝贵的提示,并加深对产品功能的了解。
同行评审专家的代表性观点:
潜在客户应该投资对团队进行全面培训。确保员工熟悉TI 产品的功能,从而最大限度地发挥其优势。训练有素的团队可以显著提高产品在加强网络安全方面的有效性。
—媒体行业 IT 安全与风险管理专业人士
如果重新开始,我们将优先为用户和 SOC 团队提供深入的参与流程。从一开始就进行全面的培训和探索TI 产品的高级功能将提高团队在网络安全运营中的表现能力。
—媒体行业 IT 安全与风险管理专业人士
第 4 课:规划推广阶段;通过小规模实施完善配置
同行建议 SRM 领导者专注于战略规划,以成功实施安全 TI 解决方案。这可以通过准备有效的关键字来过滤掉不相关的数据、通过小规模项目优化配置设置以及为集成和自动化做好准备来实现。
同行建议包括:
-
准备一份全面的关键字列表,包括公司特定术语、产品名称、行业术语、已知威胁行为者名称或策略,这些关键字与组织的运营相关。这将从一开始就提高数据的相关性,并为监控和告警关键威胁提供支持。这还将最大限度地减少多余的数据,让安全团队专注于可运营的情报,从而提高威胁检测和响应工作的效率。
-
制定路线图,将TI 解决方案与现有系统(如 ITSM、API 等)集成,并尽可能自动响应 TI。这将减少员工的手动工作量并加速分类过程,从而更快地缓解威胁。
-
为TI 解决方案提供信息,以满足组织的优先情报需求 (PIR) 和专业情报需求 (SIR)。这一重点将有助于管理大量可用信息,并确保解决方案提供最相关的见解,以满足利益相关者的需求。
-
在全面部署之前,先与几名团队成员一起在较低级别实施项目,以完善TI解决方案的配置。从头开始将确保遗留问题不会妨碍解决方案的性能,并充分利用现代功能。
同行评审专家的代表性观点:
我们强烈建议通过提前规划实施来优化TI 解决方案的实施范围,最大限度地减少最初的挑战,并更快地从解决方案中获得价值。
—制造业 IT 安全与风险管理专业人士
在正式上线之前,最好先与较小的团队或特定部门一起实施一个示例项目,以清理发现的问题并及时调查问题(如果有)。
—医疗保健行业 IT 安全与风险管理专业人士
课程 5:利用内部和外部团队优化配置TI 产品
同行建议 SRM 领导者与内部团队和外部合作伙伴合作,将TI 解决方案与现有系统(例如安全信息和事件管理 (SIEM) 和 ITSM 工具)集成。这对于加强组织的整体安全框架至关重要。
同行建议包括:
-
与内部专家和第三方安全顾问合作,最大限度地提高TI 解决方案实施的有效性。他们的宝贵见解将有助于设置、故障排除和发现增强解决方案功能的隐藏功能。
-
使用 TI 发现结果设置现有流程,全面覆盖攻击面。例如,使用TI 合作伙伴提供的入侵指标( IOC) 制定搜寻假设并检测任何内部威胁。这将确保防御措施基于最新威胁数据,从而加强整体安全安排。
-
将TI 解决方案与现有的安全解决方案(例如 SIEM 和 ITSM 工具以及票务系统)相集成,以简化流程、提升威胁检测和响应能力并促进更具凝聚力的安全策略。
-
配置强大的过滤和告警优先级,以关注最相关的威胁。这将管理和减少误报,监控并提高TI解决方案的效率。
-
优先考虑TI 解决方案的交付方法。不要依赖电子邮件告警,而是利用 API 源来自动化流程,以显著提高效率并节省分析师每天的时间。这还将简化操作并优化情报数据的及时使用。
同行评审专家的代表性观点:
与 TI 专业内部团队讨论如何实施解决方案,因为他们可以利用他们对正在进行的项目和历史数据的熟悉程度来提供连续性和一致性。
—服务业 IT 专业人士
我们建议与熟悉TI 的外部实施顾问合作,以将解决方案与现有系统集成。他们的专业知识将避免常见的陷阱,同时确保解决方案经过定制,以满足组织的特定需求。
—金融行业 IT 安全与风险管理专业人士
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
