成功实施网络安全威胁防御的 5 项最佳实践

目录

建立并不断改进其威胁情报生命周期

使用威胁情报进行风险暴露管理

驾驶检测工程

促进威胁搜寻

进行持续测试

---

这个概念很好理解，但要付诸实践却困难得多。领先的组织提供了一些关于如何最好地实施这一强有力的防御策略的指导。

如果您过去 5 到 10 年一直从事网络安全工作，那么您可能听说过“威胁知情防御”这一术语。

简而言之，威胁知情防御将安全团队、技术和预算重点放在最有可能影响特定组织、行业、地区等的威胁上。

这一概念与《孙子兵法》中那句著名的（经常被引用）名言基本一致：“知己知彼，百战不殆。不知己不知敌，一胜一负。不知己不知敌，每战必败。”

用网络安全术语来说，安全团队需要监控对手的策略、技术和程序 (TTP)，了解如何通过安全控制来阻止或检测这些 TTP，然后进行必要的调整以弥补防御漏洞。

威胁知情防御的概念通常与MITRE ATT&CK 框架相关，这是一个普遍可访问、不断更新的知识库，用于根据网络犯罪分子已知的对抗行为对网络安全威胁进行建模、检测、预防和打击。

通过使用 MITRE ATT&CK 导航器（或类似工具），安全团队可以直观地了解对手的 TTP，然后将其与他们的安全控制和防御策略进行比较。

这几段文字提供了对威胁知情防御的基本理解——它是什么、它如何工作以及它为什么可能有益。

大多数安全专业人员马上就能理解这一点，但尽管这个概念可能很容易理解，但对一些组织来说，实施威胁知情防御仍然是一个难以实现的目标。

遗憾的是，许多网络威胁情报计划仍然杂乱无章、战术性十足，阻碍了组织推进威胁知情防御的额外层次。

该怎么办？最近与几家组织讨论了他们如何实施威胁知情防御。一路上有很多弯路和教训，但发现成功的安全团队正在做以下事情：

建立并不断改进其威胁情报生命周期

威胁情报生命周期通常分为六个阶段：

1. 方向与规划。

2. 数据收集。

3. 加工。

4. 分析和生产。

5. 情报传播。

6. 反馈。

为了正确做到这一点，您必须定义要跟踪的威胁和威胁行为者，收集、处理和分析相关情报，创建报告并分发给正确的利益相关者，然后收集他们的反馈以确保他们得到他们需要的东西。

不成熟的组织在一个或多个阶段陷入困境——他们无法获得来自业务的投入，被大量威胁情报所淹没，生成过于技术性的报告等。这很难，但让这个基础发挥作用对于建立有效的威胁情报防御至关重要。

使用威胁情报进行风险暴露管理

每个人都知道这样一句话：“预防胜于治疗。”威胁知情防御通过协调威胁情报和暴露管理来支持这句格言。

假设组织正在跨系统、应用程序、攻击面、云基础设施等进行漏洞扫描，他们将列出数以万计的漏洞列表。

即使是资源丰富的大型企业也无法及时修复如此大量的漏洞，因此领先的公司依靠威胁情报来指导他们修复现在或不久的将来最有可能被利用的漏洞。

思科（Kenna）、Nucleus Security 和 ServiceNow 等供应商提供的一些漏洞管理工具提供了此功能，但积极主动的组织更进一步，开发了将漏洞与整个 IT 基础架构中不断演变的威胁进行比较的专业知识。

驾驶检测工程

如前所述，威​​胁知情防御包括了解对手的 TTP、将这些 TTP 与现有防御进行比较、找出漏洞，然后实施补偿控制。

这些最后的步骤相当于审查现有的检测规则、编写新的规则，然后测试所有规则，以确保它们能够检测到它们应该检测到的内容。

领先的组织并不依赖安全工具供应商来开发正确的检测规则，而是投资于跨多种工具集（例如XDR、电子邮件/网络安全工具、SIEM、云安全工具等）的检测工程。

交谈过的首席安全信息官承认，实施起来可能既困难又昂贵。Sigma 和 YARA 等开放标准可以提供帮助，但许多公司需要服务提供商的进一步帮助，或 Anvilogic、CardinalOps、Detecteam 或 SOC Prime 等供应商提供的特定工具。

促进威胁搜寻

一旦 CTI 生命周期运行良好，它将提供可用作自动和手动威胁搜寻基础的情报。

一些公司在这里使用脚本，而其他公司则为 SOAR 工具创建运行手册，但基本概念是自动发现网络上发现的入侵指标 (IoC)（通过 SIEM 工具、EDR/XDR/NDR、防火墙、云日志等）。

这一过程可能会触发使用其他方法（如钻石模型、痛苦金字塔等）的更多高级威胁搜寻，其中 L3 SOC 分析师会搜索恶意的、通常复杂的模式和行为。

进行持续测试

俗话说，“测试导致失败，失败导致理解。”为了获得威胁知情防御，领先的组织会与内部专家、服务提供商合同、自动化工具进行持续的红队和渗透测试，甚至与 Cyber​​bit 等公司合作创建网络靶场。

目标是什么？找到那些他们认为自己受到保护但实际上却没有的地方。持续测试弥补了孙子兵法中“知己知彼”的鸿沟。

随着持续测试获得认可和发展，许多公司利用这一过程建立紫色团队，以进一步将威胁与防御结合起来。

建立威胁知情防御并不容易，我采访过的许多公司都曾遇到过挫折，但每家公司都坚定地宣称这是值得付出努力的。

安全专家吹嘘说，威胁知情防御可以提高安全效率，提高运营效率，而首席信息安全官则表示，威胁知情防御对企业高管和公司董事会来说很有意义，因为它可以提供更集中的网络安全覆盖范围和必要投资。

仅这一点就使他们的威胁知情防御策略有益。