网络威胁情报流程和技术完整指南
战争的胜负取决于理解敌人的思维和运作方式,理解他们的动机并确定他们的战术,并根据这种理解做出大大小小的决定的能力。
”什么是网络威胁情报?
网络安全专家使用威胁情报来调查潜在威胁和恶意行为者采用的攻击方法。这种情报有助于降低网络攻击的风险和影响,使组织能够识别潜在的攻击并针对攻击媒介采取应对对策。威胁情报使团队能够通过分析有关攻击者、其能力和动机的数据来防止网络攻击。
为什么威胁情报很重要?
透彻了解威胁态势使组织能够准确识别风险并确定风险的优先级,并实施正确的工具和技术来应对威胁。威胁情报的一个主要方面是在正确的地方寻找信息。知道去哪里寻找变得越来越困难,因为威胁行为者使用不同的渠道。
许多黑客组织通过深网或暗网运作。安全团队必须熟悉网络世界中这些晦涩难懂、经常被忽视的部分。为了主动预防攻击,组织还必须了解攻击者的风险漏洞。从暴力攻击和撞库攻击到利用软件漏洞和注入勒索软件,攻击者根据其目标使用各种方法。
什么是威胁情报源?
研究人员通过从私域和公开来源收集有关潜在威胁的数据、分析这些数据并创建潜在危险活动的来源来创建威胁情报源。组织和安全团队使用威胁情报来识别与特定威胁相关的潜在行为或特征,实施更精细的安全策略,并识别和防止安全漏洞。
什么是威胁情报平台?
威胁情报平台利用多个数据源来收集、组织、分析和可视化有关安全威胁、漏洞和攻击的信息。它是一种软件解决方案,可帮助 IT 和安全团队了解其组织的潜在风险。
组织可以使用威胁情报平台以不同格式聚合来自各种来源的情报。一旦平台收集并组织了威胁情报数据,安全团队就可以使用它来深入了解已知的网络威胁。在大流行期间网络犯罪率居高不下之后,威胁情报平台变得越来越流行。
威胁情报平台聚合企业间的威胁数据,为安全团队提供有关威胁的外部信息。它支持更好的决策,并支持主动安全方法。手动聚合和管理来自数千个不同来源的大量威胁情报数据可能具有挑战性。因此,许多组织依靠威胁情报平台来快速准确地识别、调查和响应网络攻击。
威胁情报平台使安全分析师能够专注于调查安全数据和修补漏洞,而不是将时间和资源用于收集和管理数据。威胁情报平台的另一个主要优势是能够在整个组织内以及与他人快速有效地共享情报。组织可以在本地部署威胁情报平台,也可以通过软件部署威胁情报平台。
威胁情报与威胁搜寻
威胁搜寻技术有助于发现给定环境中的未知方面,超越了传统的威胁检测技术,如端点检测和响应以及安全信息和事件管理。
分析师会搜索安全数据,寻找隐藏的攻击者和恶意软件,可以识别计算机忽略或未能检测到的可疑行为模式,从而改进或修补企业安全系统以防止这些网络攻击再次发生。
威胁情报是指有关入侵尝试和成功入侵的信息。通常包括由配备人工智能和机器学习的自动化安全系统收集和分析的数据集。
分析师们使用威胁情报来搜索整个系统中的恶意行为者。简而言之,威胁搜寻是威胁情报的延续。成功的威胁搜寻还可以识别尚未在野外发现的威胁。
此外,分析师还使用威胁指标作为狩猎的线索或假设。威胁指示器是攻击者或恶意软件留下的虚拟指纹,例如异常 IP 地址、网络钓鱼电子邮件或其他异常网络流量。
威胁情报生命周期
由于网络威胁的动态性质,制定威胁情报战略可能具有挑战性,组织必须迅速适应不断变化的威胁形势。威胁情报生命周期是帮助团队优化资源和响应复杂威胁的框架。它妥协了六个基本阶段,创造了一个持续的反馈循环。
1、要求
此阶段提供威胁情报操作的路线图。这是团队就威胁情报计划的目标和方法达成一致的关键规划阶段。他们可能会识别以下元素:攻击者——他们是谁,是什么激励他们。 攻击面 — 哪些区域最容易受到攻击。 缓解和预防 — 防御未来攻击的具体措施。
2、数据收集
分析师定义程序的要求后,可以开始收集满足指定目标所需的信息,通常会搜索公共数据源、流量日志、论坛、社交平台和专家评论等等。3、数据处理
收集原始数据后,团队必须将其处理成合适的格式进行分析。处理阶段通常包括:将数据排列到电子表格中;
翻译来自不同格式和来源的数据;
解密数据;
评估信息的可靠性和相关性。
4、分析
处理后,数据就可以供分析了。分析应该是彻底的,解决需求阶段提出的问题。安全团队将处理后的数据破译为可操作的项目,并向相关利益干系人提供有用的建议。
5. 分发
分发阶段涉及将威胁情报团队的分析转换为可读的格式,以呈现给非专业利益相关者。分析师呈现分析的方式因目标受众而异——通常,观察和建议应该简明扼要,使用通俗易懂的语言。
6. 反馈
在威胁情报生命周期的尾声,也是新的循环的起点,就是反馈阶段。这一阶段,分析师们会收集并考虑相关者对情报报告的反馈。这样的反馈不仅有助于团队了解情报报告的效果,还能在必要时提醒团队调整威胁情报计划。这个环节在确保情报持续有效性、准确性和利益相关者的需求满足方面具有重要作用。
威胁情报的类型
威胁情报通常分为四类,共同提供对网络威胁形势的全面评估。
1、战略情报
战略威胁情报总结了非技术受众的潜在攻击和后果。基于对新兴全球趋势和风险的深入分析,情报团队通常以白皮书、报告或演示文稿的形式呈现此类分析,描述了在较高层次上影响特定组织或行业的威胁态势。
2、战术情报
这种类型的威胁情报提供有关攻击者使用的策略、技术和过程的详细信息。其目标受众是直接负责 IT 和数据资源安全的个人。战术威胁情报描述了可能针对组织的攻击,以及如何最好地缓解或防御这些攻击。
3、技术情报
技术威胁情报侧重于表明存在主动攻击的入侵指标 (IoC)。这些 IoC 包括侦察行动、漏洞武器化和攻击媒介。这种类型的情报在挫败社会工程攻击方面发挥着关键作用。许多人将其与作战情报混为一谈,但不同之处在于,技术情报的适应性更强,当攻击者改变策略以利用新的攻击机会时会做出迅速调整。
4、开源情报
这种类型的威胁情报包括来自各种来源的信息,例如社交媒体平台、聊天室、防病毒日志和历史事件。分析师使用运营智能来预测未来网络攻击的时间和性质。机器学习和数据挖掘能够自动处理不同语言的许多数据点。
事件响应和安全团队使用操作情报来调整安全控制的配置,包括防火墙规则、访问控制和事件检测策略。通过提供明确的调查方向来帮助缩短响应时间。
集成威胁情报工具的最佳实践
有几种方法可以将威胁情报集成到组织的安全策略中。以下是开始构建威胁情报计划的一些最佳实践。
采用主动的情报方法
威胁情报可以帮助指导安全策略,使团队能够在攻击发生之前识别漏洞。
团队应使用威胁情报来为以下方面的决策提供信息:
限制访问权限;
设置访问控制以防止和限制攻击;
确定必要的更新和补丁。
威胁情报源通过对高风险活动和安全事件进行分类来支持早期事件检测,还有助于指导应对工作。此信息在集成到自动事件响应管道中时特别有用,因为有助于预测攻击过程。了解攻击者的行为和意图使团队能够预测攻击者的下一步行动并将损失降至最低。
将威胁情报与现有安全解决方案相结合
威胁情报解决方案作为独立工具不是很有效。手动匹配系统中的事件可能很困难。相反,威胁情报应该是定义可疑事件和行为模式的自动化系统的一部分。
另一个经常包含威胁情报的解决方案是事件管理系统,它对安全工程师之间的通信进行加密。它可以保护静态和传输中的敏感消息和安全警报。系统向相关工程师发送告警,快速解决安全威胁。
最大限度减少警报疲劳
当安全团队无法再响应警报时,就会发生警报疲劳。这是由于有太多警报,使安全数据无法管理。导致警报疲劳的其他因素包括使用不同的工具收集数据和设置低警报阈值。
威胁情报有助于筛选安全数据,并确定最关键警报的优先级确保安全团队不会错过重要通知。事件警报管理解决方案还会根据分析师的可用性轮换和上报警报。阐明哪些警报最多,因此分析师可以轻松确定优先级。
《情报驱动的事件响应2022版》
《情报驱动的事件响应2023版》
2024-01-03
2024-01-02
2023-12-29
2023-12-28
2023-12-27