CTI 涵盖与网络安全有关的广泛信息和分析。不过,根据信息类型和应用,可将其分为三大类。全面的 CTI 计划将包含不同级别的每种类型,以满足组织独特的网络安全需求。
战略情报
战略威胁情报 (STI) 来自于对网络安全大趋势及其可能对组织产生的影响的高层次分析。它提供了有关威胁参与者动机、能力和目标的洞察力,帮助 IT 部门以外的高管和决策者了解潜在的网络威胁。与其他类型的 CTI 相比,战略威胁情报通常不那么技术性,也不针对具体事件,通常用于制定风险管理策略和计划,以减轻未来网络攻击的影响。
战术情报
顾名思义,战术威胁情报(TTI)侧重于威胁参与者的战术、技术和程序(TTPs),力求了解威胁参与者可能如何攻击组织。战术威胁情报还利用威胁追踪来探索威胁漏洞,主动搜索组织网络中最初未被发现的威胁。TTI 比 STI 技术性更强,通常由 IT 或 SOC 团队用于加强网络安全措施或改进事件响应计划。
业务情报
与 STI 和 TTI 相比,作战威胁情报 (OTI) 更加详细、针对特定事件且即时,是用于促进及时威胁检测和事件响应的实时数据。CISO、CIO 和 SOC 成员经常利用 OTI 来识别和挫败可能的攻击。
威胁情报的来源
威胁情报的来源几乎和网络安全形势本身一样多种多样。不过,CTI 有几个常见的来源。
内部数据:组织从自身数据、网络日志、事件响应等中收集的信息。
公开来源情报 (OSINT):来自被视为公共领域的资源的信息。
闭源服务:不向公众提供的信息。
信息共享和分析中心(ISACs):针对特定业务部门的组织,负责收集、分析并与成员组织共享可操作的威胁信息。
政府建议:由联邦调查局(美国)、国家网络安全中心(英国)或欧盟网络安全局(ENISA)等机构发布的信息。
深网和暗网情报:加密和匿名信息,提供有关网络犯罪和活动的信息,对即将发生的攻击发出预警,并洞察网络犯罪分子的动机和方法。
利用外部和内部威胁情报
来自内部和外部的 CTI 为组织的威胁状况提供了不同但同样重要的见解。
分析内部数据可创建 "上下文 CTI",帮助组织根据个人情况、业务系统、产品和服务识别并确认最相关的威胁。审查以往事件的信息可以揭示入侵指标(IOC),详细说明入侵的原因和影响,并提供改进事件响应计划的机会。内部 CTI 还能加深对组织漏洞的了解,使 CISO 和 SOC 能够制定更有针对性的网络安全措施。
外部 CTI 可提供所需的洞察力,从而领先于当前和即将出现的威胁参与者。从全球 TTP 到来自 ISAC 和行业同行团体等来源的特定行业情报,外部 CTI 可增强威胁意识,提高组织创建更强大网络安全计划的能力。
威胁检测中情报驱动数据的价值
作为任何网络威胁检测和响应计划的关键要素,以情报为导向的数据可促进积极主动的防御态势,帮助组织更好地了解自身漏洞,预测网络威胁,将资源集中用于最重要的威胁,并制定事件响应计划,将网络攻击的影响降至最低。
智能驱动的数据还能让人更深入地了解风险管理和合规性问题,减少数据泄露可能造成的财务和声誉损失。
威胁情报中的工具和服务
生成网络威胁情报的工具越来越多,每种工具都有独特的形式和功能,以满足组织的网络安全需求。
将几种工具和威胁情报平台的功能结合起来,就能创建最完整、最彻底的威胁检测和预防计划。
威胁情报工具及其功能概述
威胁情报平台( TIP) :自动收集、汇总和分析外部威胁数据。
安全信息和事件管理系统(SIEM) :收集和分析由系统日志、事件数据和其他上下文来源组成的内部威胁数据。
威胁情报馈送:提供与当前或正在发生的网络威胁相关的实时信息流,通常侧重于特定的关注领域(IP 地址、域、恶意软件签名等)。
沙箱工具:提供受控环境,组织可在其中分析或打开具有潜在危险的文件或程序,而不会对组织的内部系统造成风险。
开放源情报 (OSINT) 工具:从公共来源(社交媒体、博客、公开论坛等)收集数据。
威胁情报服务:它们如何加强网络安全
威胁情报服务通过为 CISO 和 SOC 提供开发和优化网络威胁分析、预防和恢复计划的工具,为组织的网络安全工作提供支持。有效的 CTI 支持可提高对威胁的整体认识,实现主动防御措施,加强事件响应计划,改进决策和风险管理。
事件响应在威胁情报计划中的作用
事件响应计划(IRP) 在威胁情报计划中具有多种作用。IRP 概述了组织如何应对网络安全事件并从中恢复。除了确保组织做好应对网络攻击的准备外,计划周密的 IRP 还将提供各种类型的威胁情报,可用于改进未来的网络安全措施。