威胁情报的重要性
为了让组织的安全团队有效地减轻风险并保持对网络威胁的领先优势,组织必须拥有一个强大的威胁情报计划。由各种公开和封闭来源组成的威胁情报是赋予安全团队所需信息以主动应对威胁、防止网络攻击给组织资产、基础设施和人员带来伤害。
建立一个有效的网络威胁情报计划需要全面了解组织所面临的威胁环境。根据收集目标及其提供信息类型,为了充分发挥威胁情报的作用,重要的是优先考虑创建一个统筹三种类型的威胁情报计划。
三种威胁情报类型
战略威胁情报
战略威胁情报是整个威胁情报计划的总体框架,指利用组织的情报数据收集、历史观察和研究来识别趋势并制定长期计划。与操作性和战术性情报相比,它更具广泛的焦点,并试图定义公司的安全姿态以及网络活动和攻击趋势对业务决策的影响。
利用这些信息,安全团队及其监督领导能够更好地分配资源,构建一个针对他们在网络防御世界中特定需求而调整过的团队、技术堆栈和支持系统。例如,在某个行业遭受勒索软件攻击数量增加时,该行业内部组织将使用其战略情报来确定这一趋势,并可能决定投资更多重视应对勒索软件威胁方面的防御措施。
通常,战略威胁情报主要面向高管、高层领导和CISOs等人员汇总组织应该注意到最大化风险。它主要展示在白皮书、报告和其他简介中,并提供某一时间段内威胁的概述。它是持续收集的,以使组织了解其威胁环境。
操作威胁情报
更直接适用的操作性威胁情报利用数据和信息收集来响应正在进行中的威胁或攻击。它旨在立即使用,并提供实时警报,可以帮助您的安全团队了解攻击范围并防御它。它是检测活动威胁和快速响应的关键部分,以使您的组织遭受最小损失。
除了为您提供挫败攻击所需的情报外,还深入洞察了威胁行为者如何操作,包括他们的动机、能力以及基于过去行为方式可能采取下一步行动等方面。操作性威胁情报不仅改善了您组织对抗攻击能力,而且增强了整体安全姿态,并提高了调查事件和修复损坏质量。
这种类型的威胁智能通常是技术性质,并且可立即紧急适用于潜在攻击场景。其受众对象是安全专业人员,包括安全经理、事件响应主管、网络防御者和欺诈检测团队等人员。它通常由牵连指标(IOCs)和机器可读数据组成,包括URL、域名和IP地址等内容,并经常通过防火墙、SIEM、SOAR和其他安全工具进行消费。
战术威胁情报
战术威胁情报是介于战略和操作之间的一种中介情报类型,它利用收集到的信息来识别威胁并加以缓解。与旨在检测长期趋势的战略性威胁情报相比,它的寿命较短,但比起帮助团队在时间紧迫的主动攻击期间防御威胁的操作性威胁情报,则反应更为迅速。
为了有效地进行工作,战术性威胁情报需要对一个威胁行为者及其策略、技巧和程序(TTP)有全面了解,并且从人类和技术来源不断收集和分析。它通常支持特定调查,并提供关于某种类型攻击及常见方法论方面信息。通过给安全团队提供在线观察到某些威胁所在位置等信息,还可以协助进行网络安全监控。
负责网络安全、架构和管理以及IT服务管理和安全运营管理的个人和团队是战术性威胁情报主要受众群体。这种类型经常出现在活动组织、恶意软件、事件和攻击组报告中,具有极高的技术性。
总结
威胁情报分为三种类型:战略性、操作性和战术性。战略性威胁情报是指使用组织的情报数据收集、历史观察和研究来识别趋势并创建长期计划,以定义公司的安全姿态和攻击趋势对业务决策的影响。操作性威胁情报用于响应正在进行中的威胁或攻击,并提供实时警报,帮助安全团队了解攻击范围并防御它。而战术性威胁情报则介于两者之间,使用收集到的信息来识别和减轻威胁。这些不同类型的威胁情报适用于不同层次及职能人员,并在网络安全领域发挥着重要作用。