威胁情报是激活网络安全管理和进行攻击防御的关键,威胁情报与 SOC、态势感知平台、网络安全管理中心等集成是开展行业网络安全管理的挑战和重点。
威胁情报要真正与网络安全管理进行融合,就需要在检测、警报分类和事件响应环节发挥作用,而不是 “飘在外面” 的黑客攻防小分队。对于习惯于依赖静态防御的安全团队来说,利用威胁情报意味着引入一定程度的敏捷性,但通常来说由于要迁就静态防御,威胁情报的敏捷性往往被浪费了。事实上,作为提升网络安全管理效能的重要补充,威胁情报已经成为网络安全管理平台的重要组成部分。根据 2019 年 SANS 的 “网络威胁情报演变” 调查,有多达 70% 的客户认为威胁情报是安全运营的必要条件。然而,许多组织仍在努力整合各种威胁情报来源,或建立一种有效的共享文化,以联合力量对抗敌人。而实际情况是,威胁数据越有用,获取并集成到工作流中就越困难(或痛苦)。下图是由威胁数据值与集成难度级别形成的金字塔(注:此部分内容参考安全牛发文):
图 威胁数据值与集成难度金字塔
金字塔顶端是威胁源使用的工具和 TTP (Tactics, Techniques, andProcedures:威胁情报中的关键信息。TTP 将安全事件全面进行了描述,并分手段、技术、过程三个维度分析,包括了恶意攻击的行为、采用了什么工具、受害目标、利用了什么弱点、影响及后果、kill chain 等等。)情报。这些是威胁检测和验证最困难最痛苦的指标,但对于了解威胁行为者的背景,其意图以及充分理解威胁以进行响应的方法也最有用。
威胁情报来源很多,主要分为两大类:外部情报和内部情报。外部情报分为开源/社区和商业两大类。首先是开源/社区,例如集体情报框架 (CIF) 和基于部门的信息共享和分析中心 (ISAC);第二种是威胁情报厂商提供的付费商业威胁情报服务(目前市场上比较常见的国际厂商包括 iDefense、Cisco、Team Cymru、Greynoise.io、McAfee、Symantec、Symantec、ATLAS、Farsight 和 Reversing Labs,国内厂商包括奇安信、安恒信息、安天、亚信安全等)。除了外部开源和商业威胁情报,企业安全运营团队还产生需要在内部共享的内部专有情报。
作为网络安全厂商,其建立的网络安全威胁情报中心的情报来源主要由几方面,首先是公司在互联网上通过部署蜜罐系统,抓取互联网情报,如租用阿里云上的一台主机部署系统来获得攻击情报;再者是通过第三方机构发布的情报,这个又包含两方面,一方面是网信办、国测或者开源信息等发布的威胁情报信息,另一方面就是从安全厂商处购买。第三类是销售给用户的WAF,这些WAF部署在互联网可以将获取的攻击信息传输给公司自有威胁情报数据库。基于上述三大类威胁情报的来源,就构建了威胁情报中心。如下图所示,为威胁情报中心的实时展示情况:
864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
