五大因素助力企业或机构建立自己的威胁情报团队
有许多企业或机构都想建立自己威胁情报团队,但不知道从何开始,更不知道究竟是什么威胁情报。在过去的几年里,尽管厂商竞相建立基于情报的问题解决方案,但威胁情报的定义在业界仍被迷雾所笼罩。抛开对威胁情报概念本身的争论,在本文中我们将讨论组织机构如何建立自己的团队,从而有效利用情报推动企业安全。这包括以下五个关键因素:
因素1:建立情报优先框架。
为了有效利用情报,组织必须首先证实并优先考虑有用的信息。首先发现情报的空白之处,接下来根据欠缺的情报制定需求,然后将与机构相关的需求组织起来。
举个例子,在优先情报需求(PIR)文件里,“P1”可能表示以我方为目标的对手,在这种情况下,另一个需求以我方为目标的国家级对手,这可以表示为“P1.a.”。
这种结构使得机构可以建立一个集中的清单,以便定期审查所有的情报需求。
因素2:整合情报来源。
威胁情报的来源很丰富,包含以下几个方面:
技术来源包括SIEM,IDS,防火墙,下一代终端安全平台,以及大量的设备日志;
公开来源包括公开的的厂商报告,大量免费订阅的公告,厂商漏洞列表(微软、苹果、Adobe等),以及各种媒体资源;
封闭来源包括社区邮件列表,和类似ISACS的组织;
此外,还有付费情报提供者。
因素3:映射情报收集。
威胁情报的获取来源如此广泛,需要通过因素1中所定义的情报优先级进行排列。例如,公开报告与一些已知威胁目标相关且可能会对攻击目标相关的情报请求进行排序。威胁情报通过一些内部系统,如:已知来源的邮件,日期,与其映射的优先权,已获取的情报,及一些数据处理(分析)。将已收集到的情报存储在可搜索的存储库(数据库)中,在可能的情况下,将其传入技术节点中,获取可操作信息并应用到SIEM中,建立防火墙或日志记录事件,建立入侵检测规则,或禁止HASH进入终端防御系统中。
因素4:寻找最棒的人才。
关键是雇用有能力深入分析内部情报并针对组织机构行成分析报告的威胁情报分析人员。收集到新的威胁情报之后,需要有人评估其对组织机构是否有价值、解释其价值在哪里、决定情报对谁有价值,并且撰写分析报告说明其应用场景。
把图书馆装满谍报分析书籍并不难,但培养能够进行情报分析工作的SOC分析人员既费时又费力。许多技术专家的世界是二元的,一切非黑即白。而情报分析人员生活在灰色的世界里:他们考虑无数情况,并对事情发生或者变化的可能性进行评估。这些分析人员将采用可替代的的竞争假设(ACH)处理多种可能性或结果。
因素5:将成品展示给观众。
传播威胁情报是威胁情报团队的重要工作之一。通过每星期、甚至每天都通报在近一段时间内收集并分析的情报的产品,威胁情报团队能够确保其内部用户了解当前发生的各种事件。威胁情报产品应当针对受众订制,并包含对客户更实际的信息。
例如,一个机构组织的威胁情报产品如果能够做到涵盖已知的攻击、即将发生的可能影响企业安全的事件、最新与企业安全有关的新闻、以及对可能发生的情报进行评估,那么这个产品一定会在主动面对威胁方面表现出色。