2022年7月,欧盟网络安全局(ENISA)开发网络安全威胁态势方法(Cybersecurity Threat Landscape Methodology,缩写为CTL),旨在促进整个欧盟一致和透明的威胁情报共享。
随着网络威胁态势的不断发展,对有关当前情况的更新和准确信息的需求正在增长,这是评估相关风险的关键因素。
这是为什么ENISA发布了一个开放、透明(transparent)的框架来支持威胁态势的发展。
ENISA方法旨在为网络安全威胁态势(CTL)的透明和系统交付提供基线,这要归功于数据收集和分析的系统化和透明流程。
谁能从这种新方法中受益?
这种新方法可供ENISA的利益相关者以及希望产生自己的网络威胁态势的其他相关方使用。采用和/或调整拟议的新CTL框架将增强他们建立态势感知、监控和应对现有和潜在威胁的能力。
ENISA还将使用这种新方法来提供增强的年度ENISA威胁态势(ETL)。它还将用于生成技术或部门威胁态势。
该方法如何运作?
该框架基于网络安全威胁态势分析性能中考虑的不同元素。因此,它包括识别和定义所使用的过程,方法和工具以及所涉及的利益相关者。
在现有工作方式的基础上,该方法提供了以下方面的指导:
定义每种不同类型的CTL的组件和内容;
评估要执行的每种类型的CTL的目标受众;
如何收集数据源;
如何分析数据;
如何传播数据;
如何收集和分析反馈。
ENISA方法包括六个主要步骤,每个步骤都预见并与之相关反馈:
确立方向:确立方向是指明确CTL报告的主要目标,确定目标用户需要的信息类型及可获取信息的利益相关方,并根据信息类型向利益相关方提出需求;
信息收集:信息收集过程包括定义收集要求、建立收集计划以及对信息源进行持续评估;
信息处理:信息处理是指将收集得到的数据转换为适合情报分析人员进行分析和输出的过程,包括应用“内容分类法”处理数据格式、选择并使用CTI工具处理数据、合并数据与检查等阶段;
分析和加工:分析和加工是指CTL团队根据经验和其他情报来源分析数据、解决问题、提出建议,最终完成CTL报告的过程。该过程应首先考虑需要使用的分析技术,包括手动分析、自动分析和混合分析:手动分析,是指让不同团队查看数据集,CTL团队进行总结;自动分析,是指将数据导入特定工具中,生成分析结果,例如使用人工智能技术进行分析;混合分析,是指综合运用手动分析与自动分析两种方式;
传播:选择报告传播方法和渠道时,应考虑格式、时效、自动化、私密性等相关因素。传播可以借助工具以自动化的方式完成,也可以通过报告、分发纸质简报或发送电子邮件等方式进行,具体传播方式以及使用公共或私人传播渠道需要根据利益相关方的要求决定;
反馈:收集反馈并由此采取相应行动对改进CTL报告至关重要。反馈的内容涉及CTL内容、文档格式、使用组件、文本结构、CTL分类法选择、发布频率等各种相关事项。CTL开发团队在处理收到的反馈时,应考虑CTL目标,采取相应行动,最终建立一个持续的反馈循环。
此CTL方法已由ENISA网络安全威胁态势特设工作组(CTL WG)验证。该小组由来自公共和私营部门实体的欧洲和国际专家组成。
ENISA在网络安全威胁态势方面的工作
ENISA一直在寻找收集反馈的方法,并不断改进和更新应用于网络安全威胁态势的方法。
ENISA CTL方法旨在提供有关如何生成CTL 的高级概述。因此,这种方法旨在根据该过程中任何可能的新发展而持续发展。ENISA在该领域正在进行的研究和工作旨在确保所生成报告内容的透明度和可信度。
目标受众
欧盟委员会和欧洲成员国的政策制定者(包括但不限于欧盟机构)
欧盟机构、机关和机构(欧盟驻托机构)
网络安全专家,行业,供应商,解决方案提供商,中小企业
成员国和国家当局(如网络安全当局)
小结
实际上CTL是ENISA制定的欧盟级别的“网络安全态势分析”标准工作流程。随着计算机、互联网和通信等相关技术的发展,有两大难题摆在欧盟面前:
一是网络与通信安全威胁分析的受众与利益相关方的扩大,ENISA需要提高威胁报告的可读性,同时根据受众范围调整报告的针对性或一般性;
二是新技术不断出现和迅速发展,ENISA需要以更快的速度流水线地制作并传播CTL报告,尤其是针对新技术制作针对性的报告,以便相关利益方可以尽早地、更好地利用报告,并提高报告的准确性与可操作性。
ENISA根据过往经验,总结网络安全态势分析工作,并将其标准化流程化模板化,既提高了分析报告的可读性,又能减少分析的工作量,增强了报告的时效性与准确性。并由此大幅度加强欧盟范围内各利益相关方对威胁态势的感知、认识和参与,并通过反馈进一步加强这一认识,促进了欧盟内部的安全合作,增强欧盟应对威胁的能力。
1034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
