本文來自微信公眾號“GoUpSec”。
GoUpSec點評:哈馬斯對以色列的大規(guī)模突襲讓以情報能力著稱的以色列情報機構和CIA顏面掃地,同時也凸顯了在這個“情報過剩”時代威脅情報能力鈍化的危險性;無論是武裝沖突還是網(wǎng)絡攻擊,威脅情報的失能注定會給國家和企業(yè)帶來難以估量的巨大損失。
在企業(yè)數(shù)字化轉型的浪潮中,主動安全防御能力成為決定企業(yè)生存和發(fā)展的關鍵因素,而威脅情報則是主動安全防御戰(zhàn)略成敗的關鍵要素。作為企業(yè)網(wǎng)絡安全的守護者,首席信息安全官(CISO)面臨著諸多的挑戰(zhàn),其中最為關鍵也最為困難的一項挑戰(zhàn)便是如何讓威脅情報在企業(yè)的主動安全防護體系中發(fā)揮最大的價值。
雖然越來越多的CISO意識到威脅情報能力的重要性,但很大一部分CISO表示,他們在威脅情報的使用方面存在不足。根據(jù)Searchlight Cyber 2023年3月的調查報告,93%的受訪CISO擔心暗網(wǎng)威脅,但多達21%的CISO根本沒有威脅情報能力。
ESG在2023年3月的報告中指出,多達46%的CISO不會定期使用威脅情報報告。
如今,幾乎所有安全團隊都在安全工具和服務中內置了一些威脅情報,相關工具和服務幾乎已成為所有企業(yè)網(wǎng)絡安全產(chǎn)品的標準配置,威脅情報市場的工具和服務可謂極大豐富,但企業(yè)威脅情報的價值卻并未兌現(xiàn),根據(jù)ESG二季度的威脅情報市場報告,雖然大多數(shù)CISO都在威脅情報領域投資,但普遍面臨困境:近四分之三(74%)的企業(yè)聲稱在威脅情報生命周期的不同階段遭遇瓶頸。
德勤網(wǎng)絡安全檢測與響應咨詢解決方案負責人Kevin Urbanowicz表示,真正的問題不在于CISO能否使用威脅情報,而是能否發(fā)揮威脅情報的價值:“這就是我們看到的問題所在——威脅情報使用的有效性。”
實施威脅情報是網(wǎng)絡安全防御戰(zhàn)略的關鍵
零售與酒店業(yè)ISAC情報運營副總裁Bryon Hundley指出:“忽視威脅情報的后果包括:缺乏對新興威脅的可見性、檢測和響應速度較慢、事件響應無效、合規(guī)風險和財務損失。此外,如今攻擊者都已經(jīng)開始使用威脅情報服務,作為防御者沒有理由不重視威脅情報。”
很多經(jīng)驗豐富的CSIO、安全研究人員和其他安全領導者表示,如今企業(yè)并不缺乏可用的威脅情報,真正的問題在于安全團隊能否有效地運用威脅情報。Forrester首席分析師Brian Wrozek表示,威脅情報的應用主要有以下三種方式:
第一個是戰(zhàn)術性的,通常是自動化的使用。例如,當工具制造商獲得有關被視為有問題的新地址的情報時,阻止危險IP地址的安全工具會自動更新。
第二個是融入安全運營,這是安全成熟度規(guī)模的一個進步,例如CISO及其團隊使用威脅情報指導事件響應。例如,威脅情報可以告知團隊,如果他們在環(huán)境中發(fā)現(xiàn)某種類型的威脅,下一步應該采取什么措施。
第三個是戰(zhàn)略性的,這是對威脅情報最復雜的運用。CISO將威脅情報與威脅態(tài)勢、IT環(huán)境、組織和行業(yè)結合進行綜合研判,以制定安全職能部門和整個組織的安全戰(zhàn)略決策。
就后兩種應用方式而言,許多CISO尚未真正有效地利用威脅情報。“威脅情報不屬于CISO日常運營的一部分,”Champlain College Online首席學習官、網(wǎng)絡安全和數(shù)字取證副教授Sergio Tenreirode Magalhaes表示。
恰恰是在后兩個應用領域中,威脅情報可以提供顯著的優(yōu)勢,因為威脅情報使企業(yè)能夠更準確地確定有限安全資源的優(yōu)先級,更好地準備防御,并就下一步的發(fā)展做出更明智的決策。
換而言之,威脅情報的后兩種應用方式對于創(chuàng)建“威脅知情防御”至關重要。
Insight副總裁兼CISO、EMC安全部門RSA前高管Jason Rader表示,威脅情報使他的團隊能夠在Apache Log4j中的關鍵漏洞披露后防止任何潛在事件。
他說,擁有一支能夠運用威脅情報的團隊“是網(wǎng)絡安全從被動到主動的決定性因素;這是為了預防火災,而不僅僅是撲滅火災。”
發(fā)揮威脅情報價值的挑戰(zhàn)
與安全領域的許多應用一樣,在戰(zhàn)術、運營和戰(zhàn)略三個層面有效利用威脅情報說起來容易做起來難,CISO在這方面的努力通常面臨無數(shù)挑戰(zhàn)。
Urbanowicz表示,威脅情報面臨網(wǎng)絡安全領域的常見問題——最大的挑戰(zhàn)是難以找到合適人才。CISO通常專注于雇用技術上合格的員工,并且在大多數(shù)情況下,這種方法是有效的。然而,優(yōu)化威脅情報的價值需要分析技能和態(tài)勢感知——這些技能使安全團隊能夠將數(shù)據(jù)轉化為可操作的項目。
“企業(yè)的威脅情報大多仍停留在定性分析層面,需要更具分析性的思維方式,而具有這種思維方式的員工目前并不是企業(yè)招聘網(wǎng)絡安全人才的第一選擇。”Urbanowicz說。
安全人才還需要對企業(yè)的IT環(huán)境、業(yè)務運營、戰(zhàn)略和部門有足夠的洞察力。這些見解使威脅情報分析師能夠首先確定哪些威脅情報源和報告對組織最重要,其次關注這些情報報告中對企業(yè)安全態(tài)勢最有意義的數(shù)據(jù)。
安全團隊還需要知道如何處理這些情報——這可能需要企業(yè)微調安全事件和信息管理(SEIM)系統(tǒng)、投資更好的威脅檢測工具,或者調整業(yè)務策略以響應不斷變化的威脅形勢。
提高威脅情報能力的五大關鍵舉措
1.構建全面的威脅情報體系
構建一個全面的威脅情報體系,不僅需要技術的支持,更需要企業(yè)文化和組織結構的配合。CISO需要推動企業(yè)形成一個安全意識強烈的文化氛圍,確保每一個員工都能成為企業(yè)安全的參與者和守護者。
在技術層面,CISO需要關注威脅情報工具和平臺的選擇和部署。一個好的威脅情報工具,不僅能夠幫助企業(yè)收集和分析威脅情報,還能夠將威脅情報與企業(yè)的安全防護體系緊密結合,實現(xiàn)威脅情報的實時響應和利用。
2.推動威脅情報應用的“落地”,融入日常安全運營
威脅情報的價值體現(xiàn)在其實際的應用中。CISO需要將威脅情報與企業(yè)的安全策略、安全防護體系和安全響應流程緊密結合,確保威脅情報能夠在企業(yè)的日常安全運營工作中發(fā)揮實際作用。
這需要CISO具備一定的戰(zhàn)略眼光和執(zhí)行力。在戰(zhàn)略層面,CISO需要能夠識別和把握威脅情報在企業(yè)安全工作中的關鍵作用;在執(zhí)行層面,CISO需要能夠推動威脅情報在企業(yè)各個部門和層面的實際應用和落地。
3.深化威脅情報的跨部門協(xié)同
在實際的企業(yè)運營中,威脅情報的應用往往涉及到多個部門的協(xié)同合作。例如,IT部門、運營部門、法務部門等可能都需要參與到威脅情報的分析和應用中來。CISO需要推動這些部門之間的深度協(xié)同,確保威脅情報能夠在企業(yè)中流動和應用。
這不僅需要技術平臺的支持,更需要CISO在組織協(xié)調和溝通方面的能力。如何打破部門間的壁壘,推動威脅情報的跨部門協(xié)同,將是CISO在實際工作中需要不斷探索和實踐的方向。
4.提升威脅情報的實時響應能力
在面對網(wǎng)絡安全威脅時,實時響應的能力至關重要。CISO需要關注如何提升企業(yè)在獲取威脅情報后的實時響應能力,確保能夠在面對網(wǎng)絡攻擊時,迅速采取有效的防護措施。
這需要CISO在威脅情報的獲取、分析和應用上,形成一套高效流暢的工作機制。同時,也需要CISO關注技術和工具的選擇和部署,提升企業(yè)在威脅情報應用上的技術支持能力。
5.強化威脅情報的分析和研判
威脅情報的分析和研判能力,直接決定了威脅情報能否被有效利用。CISO需要關注如何強化企業(yè)在威脅情報分析和研判上的能力,確保威脅情報能夠在企業(yè)的安全工作中發(fā)揮出實際的價值。
結論:威脅情報能力建設將成為“剛需”
Tenreirode Magalhaes表示,CISO在嘗試解決這些挑戰(zhàn)時常常面臨一個首要障礙:即獲得購買情報報告所需的資金以及支付使用情報所需的員工費用。
但Forrester分析師弗羅澤克表示,忽視威脅情報能力的現(xiàn)狀不會持續(xù)太久,有效利用威脅情報“正逐漸成為企業(yè)安全計劃的一個剛性需求”。
越來越多的CISO也開始明白這一點。
2023年大多數(shù)CISO都在有意識地增強其威脅情報能力。Forrester Research的報告稱,近三分之二的受訪安全決策者從2022年到2023年增加了威脅情報技術上的支出。
Forrester在其2022年安全調查中還發(fā)現(xiàn),22%的安全技術決策者將提高威脅情報能力視為IT戰(zhàn)術安全的首要任務,威脅情報在網(wǎng)絡安全戰(zhàn)術層面的優(yōu)先級例表中排名高居第三。