公民社会组织往往很难像网络安全人员那样理解威胁情报的好处。让我们来看看为什么、以及在这件事上谁应该受到责备 - 以及如何超越这些问题
进攻是最好的防守。为了更好地防守,我们必须采取主动。当我们意识到这点,就可以做好准备。无论您的网络安全团队的座右铭是什么,打击网络犯罪都需要保持警惕,以预测威胁。
这就是威胁情报的全部意义,不是吗?在恶意利用它们之前识别和修复企业 IT 基础架构的弱点。至少这就是理论所说的。许多组织正在购买这些服务,威胁情报服务的全球支出在 2018 年超过 14 亿美元 - 高于 2014 年的 9.055 亿美元。
问题是,公民社会组织往往很难像网络安全人员那样理解威胁情报的好处。让我们来看看为什么、以及在这件事上谁应该受到责备 - 以及如何超越这些问题。
1. 与特定网络安全需求不匹配。
网络安全团队有时会将威胁情报视为快速解决方案,以保护他们免受骇客和诈骗者的攻击。这种期望在很大程度上是过度膨胀的。事实是,没有任何一种能适合所有人的威胁情报。
相反,威胁情报解决方案必须根据每个组织、子组织甚至部门的特定安全需求来实施 - 如今正在实现的只是积累无关紧要的数据,从而产生错误的安全感。
例如,一家金融服务公司可能希望密切关注旨在欺骗目标的网站,它们伪造恶意联系表格,以揭示用户信用卡和银行帐号。
同时,技术提供商迫切关注的是确保专有信息(如商业秘密和研发进展)不会落入坏人之手,无论是电子邮件欺骗,加密不良还是恶意软件。
2.没有资源对威胁情报采取行动
您说可以获得洞察力。您打算如何使用该信息来应对您所遇到的威胁?实际情况是,44%的日常安全警报从未被调查过,并且由于各种原因,威胁情报数据也可能最终未能被利用。
可能是组织中没有人知道如何解释他们正在看到的东西,更不用说采取行动了。或者他们可能缺乏领导层对事业的承诺以及提升防御所需的相应预算。
无论是哪种情况,在不了解安全漏洞或有解决问题的方法的情况下知道出现了问题并不能减少网络攻击的普遍程度或强度。
为了克服这一差距,建议让 C 级赞助商准备好分配资源,培训相关员工了解威胁情报的工作实践,以及解决已标记漏洞的具体步骤。
3. 像任何其他网络安全一样处理威胁情报努力
威胁情报和其他网络安全计划之间存在着不可否认的联系。威胁情报在这里为安全意识事业提供指导,发现服务器错误配置,并掌握新形式的恶意软件等。
按照这种思路,很容易假设任何安全人员都准备像专业人士那样处理威胁情报。但是,方向和方法方面存在着显著差异。
最重要的是,威胁情报是分析师的工作,他们的专业知识有助于理解大局并建立网络安全路线图,以便主动预防和拦截威胁。这与事件响应专家的角色不同,后者受过培训,可以在发生时及时做出反应并对其进行响应。
承认这种差异至关重要,这意味着可能需要在网络安全团队中重新分配责任 - 可能会根据现有和最近获得的在线资产来监控威胁。
4. 未能整合威胁情报
如何确保您的网络安全人员使用威胁情报洞察?产品采用的最快捷途径通常是将创新与用户已知的内容联系起来,威胁情报也不例外。
事实上,将威胁情报及其数据源连接到常用软件(例如安全信息和事件管理应用程序)至关重要。这样做将加快实施速度,并使洞察力更易于起效,作为综合网络安全计划的一部分。
另一方面,缺乏集成不仅会降低威胁情报的效率,还会增加网络安全团队的工作量,这些团队需要手动汇总和比较来自另一个来源的数据,以评估基础设施的健康状况。
5. 无视威胁情报的语言
根据您的要求,威胁情报可能意味着不同的东西,其相应的语言可能会有很大差异。如果没有考虑到这一点,组织各个层面的利益相关者可能很快就会在翻译中迷失方向。
当高级管理人员谈论威胁情报时,很有可能将重点放在高层决策上。本财年的安全预算应该花在哪里?哪些技术供应商应该因不遵守公司安全政策而被踢出局?
但请与网络安全分析师坐在一起,谈话将很快能向技术方向转变。我们的 SSL 证书是最新的吗?我们是否应该更好地连接到该恶意软件数据库以制止勒索软件攻击?员工每天与之互动最多的前100 位网站是什么?
通过内部沟通和意识倡议,有必要确保感兴趣的各方意识到威胁情报可以采取的不同观点。总的来说,这些可以分为两个层次,一个是关注战略承诺,如并购和长期合作伙伴关系,另一个是关于运营问题 - 例如,网站、服务器和应用程序的增援、修复和配置。
与任何其他新实践一样,威胁情报带来了许多承诺和好处 - 其中大多数都吸引了公民社会组织及其安全团队。然而,像本文中讨论的那些错误和误解如不能解决,将继续拖延威胁情报的全面部署和解决网络犯罪的潜力。◾️