您的企业需要了解的有关网络威胁情报的知识

了解您的IT环境中的威胁和漏洞。

法医威胁猎人网络安全指纹
Getty Images

设想以下情况:一家大型金融机构听说过世界各地针对类似机构的违规和盗窃行为,并希望保护自己。

可能会出现以下问题:这些攻击背后的人是谁?动机是什么?什么是攻击媒介?利用了哪些漏洞?我们的环境安全吗?我们需要做什么?

该金融机构应该与他们的网络威胁情报团队联系。

网络威胁情报,有时也称为威胁情报(CTI和TI),在安全行业和整个企业中越来越受欢迎。您可能在与安全信息和事件管理(SIEM),云提供商的对话中,或在购买昂贵的报告时提到了它们。

但是威胁情报到底是什么?是产品,服务还是技能?为何如此重要?

如今,安全从业人员拥有将其转变为可操作信息所需的大量数据。为此,您需要做两件事:1)好的“机器”,例如可以是安全分析员或异常检测算法,可以接收数据并提供可靠的信息; 2)消息灵通的“消费者”知道该怎么办。这可能是成功的违反尝试还是失败的尝试之间的区别。

对于安全产品和服务的提供商,CTI是为您和您的企业提供额外保护和价值的最新产品。

为什么CTI变得重要?在整个R中都应纳入安全性&D生命周期。但是,安全性不属于大多数开发人员和DevOps工程师的专长。因此,安全从业人员尝试在产品开发过程中增加额外的防御层,同时最大程度地缩短开发人员和DevOps工程师实施所需的时间,但是他们的实施成功率相对较低。

因此,R的安全性受到限制 &在D级,CISO购买了更多的软件来执行更多的自动扫描,但是这些都是通用的,并非定制的。在安全性方面,没有一种万能的方法。但是,如果使用得当,CTI会创建安全性方面的自定义,并回答以下详细问题:

  • 谁想窃取您的知识产权,他们将如何尝试去做?
  • 这些新发布的漏洞利用会对您的企业产生影响吗?
  • 发布大量用户数据转储后,您的用户是否会很快遭受蛮力攻击?如果是这样,该怎么办?
  • 您所在行业中的其他公司是否受到高级持续威胁(APT)的攻击?如何理解和预防这种攻击媒介?

这些是安全从业人员每天可能会问自己的问题的类型,但可能并不总是知道如何找到答案。这是CTI可以提供帮助的地方。

网络威胁情报是一个持续的周期过程。它不是串行过程,而是并行过程。必须重复进行以保持最新状态。 CTI的过程与创建新产品的过程有一些相似之处:

1.定义需求或要求

第一步是确定组织的需求。需求不仅是您好奇的问题,而且还有可以预防这些威胁的可行结果。您需要不断地问自己,拥有智力想要达到什么目标。

这里有一些例子:

  • 保护您公司的IP
  • 知道是否有恶意行为者以您为目标,以及您如何才能阻止他们成功
  • 发布已知漏洞与您的环境相关的所有漏洞

这些只是威胁情报小组提出的一些要求示例。当您知道所需的结果时,他们可以将其分解为正确的问题,然后准备收集计划。

2.数据收集

收集计划包括所有可能将相关数据带到映射需求的来源,以及您将如何使用它们。您需要了解许多类型的数据源和工具才能构建有效的收集计划。

来源示例包括:OSINT(开源情报),暗网和地下社区,HUMINT(人类情报),商业来源以及来自网络,基础架构以及几乎所有保存元数据的系统中的您自己的数据。有时您需要您没有的数据,这需要源开发技能。

3.数据处理

收集的数据有不同的格式。也许需要解密,翻译或清理。该处理仅以可用格式导出重要数据。

以下是上一数据收集部分中的来源可能如何处理:

  • OSINT –这些可能是流行网站或学术期刊上的相关文章。一旦发现相关内容,就需要对其进行存档,扫描和索引,以便我们快速找到相关内容。
  • Darkweb和地下社区–此信息可以来自许多不同类型的文件。它可以是源代码,内部电子邮件(文本)或JSON文件,具体取决于您要查找的内容。这些也需要以一种使您可以轻松找到相关数据段的格式进行归档。
  • 来自基础结构的数据–包括系统生成的任何类型的日志,例如:用户活动,网络流量,DNS查询。每个日志都有其键。网络流量日志将具有时间戳,IP地址,协议,端口,数据包,字节。对于每个日志,您需要确定与您相关的键,对其进行解析,然后再次索引并存储它们。

4.数据分析

如果我们以开头提到的金融机构为例,则分析过程可能包括以下难题:攻击相似组织的IP地址,对其他受害者执行的恶意软件代码,与过去事件相关的pDNS日志,包括IP地址,注册时间和注册人。分析人员将采取这些措施并创建一张图片,该图片可以回答攻击者来自何处,其作案手法是什么以及妥协的迹象(IOC)。

5.结论,行动项目,传播

这是您获取新知识,使其可操作并进行宣传的部分。尽管这可以说是最关键的步骤,但它也是通常不执行或无法正确执行的步骤。每种智能都有不同的消费者,即在组织中具有不同角色的人员,例如DevOps团队,C级管理层,CISO,R&D队甚至人事部门。为了使情报在他们的舞台上可行,每个客户都需要不同格式的情报

回到我们的金融机构示例。在经历了整个CTI流程之后,分析人员可能已经发现,臭名昭著的“拉撒路集团”网络犯罪分子对该组织构成了潜在威胁。他们将向C级管理层发布一份报告,解释该小组造成其他机构的损失,例如金钱损失,客户拒绝提供服务等。分析师将向其IT团队发布另一份报告,其中包含该小组的IOC和预防措施。

CTI团队将定制报告和行动项目的类型,以满足每个消费者的信息需求:

  • C级人员想知道该小组可能对他们造成何种损害,并准备应对不同情况的应急计划。
  • DevOps和IT团队将获得该组中已知的IOC,以对其进行监视或列入黑名单。
  • 公司的所有员工都将接受有关鱼叉式网络钓鱼意识的培训,因为这是该组织使用的攻击媒介之一。

只有当每个客户都获得他们需要采取行动的信息时,金融机构才能真正得到准备和保护。

事件响应是网络威胁情报的另一个重要用例。由于无法预见的威胁或破坏,事件响应需要您的所有关注和资源。在这种情况下,威胁情报团队将与IT和DevOps团队联手,对类固醇运行此过程以包含事件并完全控制网络。

CTI是您需要的有关IT环境中的威胁和漏洞的知识。您需要CTI来改善技术和安全决策。它包括提出正确的问题,并可以轻松访问将为您提供答案的所有资源。

版权© 2018 IDG通讯,Inc.