最后更新于2023年10月31日星期二13:26:27 GMT

威胁情报 是组织网络安全战略的关键部分吗, 但考虑到网络安全发展的速度之快, 传统模式是否仍然适用?

无论你是网络安全专家还是想要建立一个 威胁情报计划 从头开始, 这个简单的框架改变了传统的模型, 所以它适用于当前的形势. 它依赖于当今可用的技术,可以通过四个简单的步骤实现.

快速浏览一下威胁情报框架

我们在这里引用的框架被称为情报周期, 它可以分为四个阶段:

这是一个传统的框架,您可以使用它在您的组织中实现威胁情报程序. 让我们更深入地了解每一步, 更新它们以适应现代生活, 并概述如何在2021年遵循它们.

要做到这一点,我们将利用的用例 凭据泄漏 作为一个例子,这是一个非常重要的用例. 根据Verizon的 2021年数据泄露调查报告, 凭据仍然是最受欢迎的数据类型之一, 这类数据是最容易被泄露的. 像这样, 凭证泄露是各种规模的组织都应该意识到并熟悉的一个领域, 使它成为说明如何建立一个有效的威胁情报程序的最佳选择.

1. 设定方向

这个过程的第一步是设定你的计划的方向, 这意味着你需要概述你要找的东西,以及你想问和回答的问题. 为了帮助解决这个问题,您可以创建 优先的情报需求,或pir,和a 想要的结果.

对于您的pir和期望的结果,您的目标应该尽可能明确. 在凭证泄漏的情况下, 例如, 让我们将PIR设置为:“我想识别属于我的员工的所有用户名和密码,这些用户名和密码已暴露给未经授权的实体."

我们在这个例子中选择了这些凭证,因为它们是 对组织有风险. 根据你的需要, 您可能会识别具有更高风险的不同凭证, 但这是我们在这个用例中关注的类型.

有了这个非常具体的PIR概述, 我们现在可以确定一个期望的结果, 比如:“我想强制重置企业环境中使用的所有密码? 之前 威胁行为者可以利用它们."

这一点至关重要, 后来, 我们将看到期望的结果如何影响我们如何建立这个威胁情报项目.

2. 列出要收集的数据

一旦你设定了你的pir和期望的结果, 你需要规划出为这个方向服务的情报来源.

对于这个用例,让我们确定威胁参与者如何获得凭据. 一些最常见的来源包括:

  • 端点(通常由僵尸网络获取)
  • 第三方破坏
  • 代码存储库
  • 张贴在论坛/粘贴栏
  • 黑暗的网络 买卖证书的黑市

在过去,您可能会求助于能够在这些方面帮助您的个人供应商. 例如, 您可能曾与一家专门从事端点安全的组织和另一家可以处理第三方违规事件响应管理的组织合作过. 但是今天,您最好找到一个能够支持您需要和提供的所有资源的供应商 完全覆盖 对于所有领域的风险,特别是像凭证泄露这样的事情.

不管, 通过绘制出这些来源, 您可以勾勒出需要重点分析的区域.

3. 选择你的分析方法

接下来是分析. 你可以采取两种方法:

  1. 自动化分析:您可以利用人工智能或复杂的算法,将相关数据分类为凭证泄漏警报, 在哪里可以提取和取出电子邮件和密码.
  2. 手动分析:您可以通过收集所有数据并让您团队中的分析师审查数据并决定哪些与您的组织相关来手动分析信息.

手工分析的最大优点是灵活性. 你可以投入更多的人力资源, 情报, 以及对过程的洞察,只显示出相关的内容. 但是也有缺点——例如,这个过程比自动分析慢得多.

在程序的第一阶段,我们指定要强制密码重置 之前 威胁行为者利用它们进行网络攻击. 这意味着在这个用例中,速度是极其重要的. 现在, 您可以看到期望的结果如何帮助我们决定应该采用哪种方法进行分析.

自动化分析 还需要更少的资源. 你不需要一群分析师来整理原始数据,找出相关的东西. 凭证泄漏的分类和警报在这里是完全自动化的. 此外,如果威胁被自动分类,它们可能会被自动修复.

让我们在实践中看看这一点:假设你的算法找到了论坛上提到的电子邮件和密码. 人工智能可以对事件进行分类并提取相关信息(例如.g.(电子邮件/用户名和密码),以机器可读的格式. 然后, 可以自动应用响应, 比如强制重置已识别用户的密码.

正如您所看到的,每种方法都有优点和缺点. 当你把它们和我们想要的结果对比时, 很明显,对于我们的凭证泄漏用例,我们应该采用自动化的方法.

4. 传播分析以采取行动

最后,我们来到了最后一个阶段:传播. 传统上, 当涉及到情报周期和威胁情报的传播时, 我们讨论向相关的利益相关者发送警报和报告以供审查, 这样他们就可以采取行动并做出相应的反应.

但, 如前一节中的示例所示, 这个过程的未来(和当前状态)是完全自动化的补救. 记住这一点, 我们不应该只讨论如何在组织中分发警报和信息——我们还应该考虑如何获取情报并将其分发给安全设备,以自动防止即将到来的攻击.

对于泄露的凭据, 这可能意味着将智能发送到活动目录,在没有人为干预的情况下自动强制重置密码. 这是一个很好的例子,说明转向自动化解决方案可以显著减少修复时间.

再一次,让我们回到我们的PIR和期望的结果:我们希望强制密码重置 之前 威胁行为者使用密码. 速度是关键,所以我们一定要自动化修复. 像这样, 我们需要一个解决方案,从我们已经规划好的情报来源中获取情报, 根据提取的信息自动生成警报, 然后自动修复威胁以尽可能快地降低风险.

一种简化和现代化的威胁情报方法

总之, 这个改进后的情报周期类似于今天如何建立一个有效的威胁情报项目.

首先确定你的pir和期望的结果. 然后,通过列出所有将推动相关情报的来源来决定收集计划. 下一个, 对于绝大多数用例来说, 重要的是要有一个自动分析算法来快速准确地对警报进行分类. 最后, 您应该从手动发布过渡到自动修复, 这可以大大减少修复时间——由于当前的网络安全状况,修复时间比以往任何时候都更加重要.

通过以下步骤, 你可以建立一个有效的威胁情报程序, 有了这个基础, 您可以对其进行微调,直到您拥有一个无缝的流程,从而节省组织的时间并全面降低风险.

想了解更多? 阅读Rapid7的方法 这里是自动检测和响应.