到手的新兴威胁情报工具应该怎么用?
转载理由:
文章很早之前就读过了。文章关于feed的选取说的比较详细,有一定的参考价值。将来选取feed时,可以参考一下这篇文章。
正文
新兴威胁情报工具旨在提高数据安全性以及规范整个行业的威胁情报。在本文中,专家Kevin Beaver对此进行了详细介绍。
你的企业正在使用威胁情报吗?如果是这样,你可能已经注意到这种信息缺乏标准化,并且,组织和政府机构之间缺乏合作。
从早期的Infragard以及随后政治家推动的网络安全立法来看,我们一直有着收集、分析和共享威胁情报的长期目标。
现在,新出现的框架和服务正在帮助企业更好地了解那些蓄意对其网络和企业造成伤害的攻击者。然而,对于不同行业的企业,威胁情报并没有标准化。每个企业都使用不同的方法,他们面对着不同的威胁源,对收集的数据采用不同的分析和处理方式。仅仅因为企业和政府机构正在收集有价值的情报,并不意味着他们正在以正确的方式利用这些情报。在很多情况下,审查这些信息的IT和安全人员甚至可能不知道他们在看什么或者无法把情报应用到具体的情况。
在本文中,我们将看看一些新兴的威胁情报工具和标准,并探讨企业应该如何更好地评估威胁情报工具和标准。
新兴威胁情报工具和标准
有些威胁情报工具和标准没有机会得以发展,下面是Gartner列出的一些旨在改进这个难以捉摸的安全领域的新兴威胁情报标准:
- CyboX(网络可观察表达式)是MITRE公司运行的语言/模式,用以在操作领域可观察到的事件或状态属性的规范、捕捉、特征描述和通信。
- OpenIOC(开放威胁指标)由MANDIANT公司创建,它是共享威胁情报的框架。它被定义为描述技术特征的XML架构,这些技术特征可识别已知威胁、攻击者的方法或其他威胁指标。
- STIX(结构化威胁信息表达式)是由MITRE开发的语言,它使用CyboX来以标准化和结构化的方式来描述威胁信息。
- Taxii(可信自动交换指标信息)也是由MITRE创建,它定义了一组符合和信息交换,以实现跨企业和产品或服务界限可操作威胁信息的共享。
这个领域的商业供应商包括Cyveillance和DigitalStakeout。Matltego在这个领域也有一席之地,它是来自Paterva的工具,在信息安全顾问和渗透测试者中很受欢迎。
寻找合适的威胁情报工具
从理论上来看,使用上述的开源和商业工具获取和共享威胁情报可以带来很多好处。在理想的世界,所有企业、组织和政府机构可以使用开放的威胁信息工具组来更好地打击威胁。
然后出现的是信任问题。
谁可以访问收集的有关企业网络信息?企业可以信任哪些具体情报来源?企业是否愿意执行第三方建议?企业将如何整合所有资源来创建可操作的数据泄露事故响应和风险缓解策略及战术?
现实情况是,大多数企业没有时间、资金和精力来应对威胁。这与国家抵御恐怖主义威胁没有什么不同。企业和国家资源有限,而恐怖分子或其他攻击者则总是会领先几步。
不要盲目跳上威胁情报的行列;在网络安全领域,营销人员总是夸夸其谈。企业应该放眼更大的蓝图,并应该问自己:
- 我们想要实现什么目标?
也许企业需要获取有关其企业或行业具体威胁情报的详细信息,以尽量减少IT风险,或者只是为了满足审核要求。企业应该只选择开源工具吗?还是更应该选择商业供应商的产品?很多人投资于安全技术而不去考虑他们为什么这样做。企业应该明确自己的目标。 - 现有网络和安全技术是否应该结合威胁情报工具,或者提供支持?
需要考虑的包括恶意软件保护、网络分析、社交媒体监测、事件关联和安全信息及事件管理系统,甚至还有企业品牌保护。 - 企业可以通过其现有供应商订阅威胁情报源吗?
- 很多供应商(例如思科和戴尔公司)整合了这种情报到其自己的产品和服务中。
- 谁来管理?每次企业部署新的网络安全技术,都需要放弃部分目前运行的东西或者使用新的资源。预算是否支持这一点?
- 企业如何衡量成功?
网络威胁情报很好,但在某些时候,企业将需要得到一些有形的结果,除了从其现有网络安全产品已经实现的结果。所有这些威胁情报资源的最终目标是帮助企业做出更明智的决策,以尽量减少其信息风险。
笔者认为,企业可以投资于世界上最好的情报信息,部署最好的技术来抵御威胁,并且获得良好的审计结果,然而,其网络仍可能非常容易受很多IT和安全管理程序错过的简单漏洞的影响。
根据笔者的经验,以及基于我们在年度数据泄露事故报告所看到的结果,大多数企业在了解更多威胁情报之前应该更好地了解自身的安全漏洞。解决漏洞根源,那么发现这些漏洞的攻击者就没机会了。
尽管如此,威胁情报肯定有用武之地,特别是在高风险行业和联邦政府机构。
企业应该看看CyboX、OpenIOS、STIX和Taxii,以及上述的商业产品。没有威胁情报战略的企业将会从中受益,即使是那些具有更成熟情报程序的企业也能够受益——例如通过利用这些新兴标准来结合现有的控制。
对于企业,重要的是在问题或攻击发生之前,考虑威胁情报。很多人将威胁情报视为事后的考虑,或者供应商或政府机构正在处理的事情。这是不正确的。
这仍然是“无人地带”,所以每个企业都需要自己探索。
本文来源:作者:Kevin Beaver 翻译:邹铮
如果您喜欢本文请分享给您的好友,谢谢!文章地址