技术与服务副总裁 at ClaySys Technologies.
网络威胁情报:是什么?我们很多人都熟悉网络威胁和情报概念,但这些概念如何相关是一个需要讨论的话题。让我们从引入网络威胁情报的原因开始。网络威胁情报被引入到网络安全领域,因为它能够预见未来攻击在到达目标网络之前。这种能力帮助组织通过加速决策过程、列出响应措施并为组织本身提供更好的保护来防御网络。简而言之,网络威胁情报是预防网络威胁或攻击的解决方案。网络威胁情报的不同类型网络威胁情报可以分为4种不同的类型。 战略威胁情报 – 这是最难创建的威胁情报形式,通常以报告的形式存在。战略威胁情报概述了组织的威胁格局。战略威胁情报提供了诸如防御措施、威胁行为者、目标和潜在攻击强度等统计数据,同时考虑到组织威胁格局中的漏洞和风险。它需要收集和分析人类数据,这需要对网络安全和全球地缘政治局势有深入的了解。 战术威胁情报 – 战术情报是最容易创建的威胁情报,通常是自动的。战术威胁包括更多关于TTP(战术、技术和程序)的明确细节、威胁行为者,并主要针对安全团队以了解攻击群体。情报为他们提供了如何制定防御策略来缓解这些攻击的想法。报告涵盖了安全系统可能被攻击者利用的每个漏洞和风险,以及如何识别此类攻击。发现可以帮助加强现有的安全控制/保护机制并消除网络中的漏洞。它也是机器可读的,这意味着安全产品可以通过API集成或数据源来包含它。 技术威胁情报 – 如其名称所示,它是技术性的。技术威胁情报主要关注即将发生的攻击的具体证据,包括恶意IP地址、URL、文件哈希、钓鱼邮件内容和其他已知的欺诈性域名。技术情报的共享时机至关重要,因为假URL或恶意IP将在几天内过期。 运营威胁情报 – 运营威胁情报在网络攻击方面具有专业知识。它提供了有关各种因素的详细信息,例如攻击的性质、目的、时机、如何以及为什么。这些信息是通过入侵黑客的在线讨论和聊天室收集的,这很困难。运营情报对网络安全专业人员有益,他们负责日常运营并在安全运营中心(SOC)工作。运营情报的最大客户是网络安全部门,例如漏洞管理、事件响应和威胁监控,这使他们在工作中更加高效和建设性。 谁能从威胁情报中受益?了解谁能从网络威胁情报中受益以及他们如何受益至关重要。网络威胁情报帮助组织处理威胁数据,从而更好地了解攻击者,快速响应事件,并领先于威胁行为者一步。这些数据有助于保护小型至中型组织免受正常安全威胁。相反,大型安全团队的企业可以利用外部威胁情报来降低成本和所需能力,从而使他们的分析师更加高效。威胁情报为安全团队的所有成员从上到下提供了独特的好处,包括: 安全/IT分析师 – 提高预防和检测技术,同时加强对威胁或攻击的防御。 安全运营中心(SOC) – 帮助组织根据风险和对组织的影响来优先考虑事件。 计算机安全事件响应团队(CSIRT) – 加快事件管理、优先级和调查的速度。 情报分析师 – 帮助找到和跟踪针对组织的威胁行为者。...