威胁情报的五个大坑
随着网络威胁的日益复杂化,网络安全威胁情报(CTI)成为了企业抵御风险、优化安全投资的关键利器。然而,如何确保在这一领域的投入能够真正转化为高效的防御能力和可观的投资回报率(ROI),却是一个亟待解决的难题。本文将深入剖析CISO们在网络安全情报应用中常见的五大误区,并提供相应的策略建议,助力企业实现CTI价值的最大化。
一、缺乏风险管理框架
要从全面的CTI项目中获取价值,CISO们首先需要构建坚实的风险管理框架,并配备相应的基础设施,以便对所摄入的情报源进行恰当的分析和情境化处理。正如Qualys威胁研究部门的网络威胁主管Ken Dunham所言:“CTI应该归属于你的风险管理范畴,若你尚未建立风险管理程序,那么识别这一优先事项至关重要。核心问题在于:你试图保护的关键要素是什么?你的‘王冠宝石’或高价值资产位于何处?”缺乏风险管理来设定优先级,企业将无法合理设定情报收集要求,从而无法收集到与最宝贵资产相关的相关情报源。
此外,CTI在用于情境化组织内部基础设施活动的安全分析时最具价值。这意味着组织需要梳理好自身的分析程序以及数据科学和数据管理,才能真正从引入的外部情报中挖掘出价值。Ontinue的威胁响应主管Balazs Greksza指出:“从战略层面来看,平衡降低总体拥有成本(TCO)与安全价值及价值实现时间,同时整合所有重要的内部数据源和工具,是一个复杂的难题。安全并非大数据问题,而是在正确的时间获取正确的信息和情报,以得出正确的结论。”因此,CISO们需要仔细思考内部数据与外部情报将在何处相互情境化。Greksza强调,安全数据湖与XDR、SIEM或合规监控解决方案的用例大相径庭,这就意味着要明确界定所有情报和分析数据如何推动更好的决策制定。CISO们或许可以先从引入数据平台工程师着手,为SOC及更广泛的领域打造全面的数据战略。
二、依赖低质量情报
低质量的情报往往比没有情报更糟糕,它会导致分析师耗费大量时间去验证和情境化这些质量欠佳的情报源。更严重的是,如果这项工作没有妥善完成,低质量数据甚至可能在运营或战略层面引发错误的决策。安全领导者应要求其情报团队定期根据几个关键属性来评估情报源的实用性,情报专业人员通常会用CART这一缩写来概括这些属性,即完整性、准确性、相关性和及时性。
完整性意味着每条情报都能全面呈现威胁情况,涵盖行为者、方法论以及受影响系统等要素,Critical Start的网络威胁研究高级经理Callie Guenther解释道。准确性或许是决定情报源价值的关键要素之一,“情报源的可信度和可靠性至关重要,不准确的情报可能导致误报、资源浪费以及潜在的未解决威胁暴露风险。”相关性则表明情报与组织的行业、技术栈和地理位置密切相关。及时性关乎情报是否足够新颖,以便能够影响组织的行动方式。显然,情报源往往需要在及时性和准确性之间寻求平衡,随着威胁研究的不断深入。
最终,Guenther还建议在CART中加入另一个“A”,形成CAART,即行动性。“情报应足够详细和具体,以推动安全行动,例如调整安全设备、更新政策或修补漏洞。”她说道。
三、忽视需求收集
比评估潜在情报源质量更为基础的是,CISO们要确保团队选择的情报源确实符合自身的安全项目和业务需求。安全团队在威胁情报项目中常犯的一个错误就是跳过了确定谁需要何种情报以做出明智安全决策这一过程。
“CTI的有效性取决于组织接收情报的能力。为了构建有效的CTI项目,组织在各个层面都必须向情报团队提出要求,并乐于消费情报以指导流程和决策。”Cybersixgill的安全研究主管Dov Lerner表示。需求收集阶段是CTI生命周期的第一步,但却常常被忽视,或者仅限于SOC分析师这类有特定技术要求的人员。Guenther也同意Lerner的观点,认为情报团队应从企业内部各种不同类型的情报消费者那里收集需求。“组织可能未能定义清晰、可操作且优先级明确的情报需求,从而导致数据无关紧要或数量过多。”为了真正发挥CTI投资的最大效益,CTI需要有足够的资源和组织联系,以便与安全领域内外的各种利益相关者进行互动,Lerner如是说。
一些组织或许还可以考虑创建一个供利益相关者请求新情报的项目。NCC集团全球网络威胁情报主管Matt Hull表示,他的公司通过这种方式使需求收集更具重复性和一致性。NCC有一套类似情报请求工单的系统。“我们称之为RFI流程——即情报请求,这本质上是向我的团队发出的一个机制,询问利益相关者‘你想回答什么问题?’然后进行分类并传递给相关团队。”他说道。
四、过度聚焦战术威胁情报
Guenther指出,组织在启动CTI项目时最常见的威胁情报错误之一就是过度强调战术情报。“虽然战术情报至关重要,但仅关注入侵指标(IoCs)而缺乏战略或运营背景,可能导致被动而非主动的安全态势。”Hull和Dunham都坚信,最强大的CTI团队能够在战术、运营和战略情报这三个主要方面进行收集和运营。战术情报遵循传统的IoC模式,以及来自恶意软件分析和其他监控中非常具体的、能够增强威胁检测的技术信息片段。运营情报则上升到行为情报层面,围绕战术、技术、程序(TTPs)展开。而战略情报则是涵盖地缘政治、行业和商业背景等更宏观层面的信息。在NCC,Hull有三个不同的团队分别专注于这三个领域,以确保项目在每个方面都恰到好处。
战略情报通常是组织最容易忽视的部分,而它往往能带来最大的财务价值,因为战略情报可以帮助根据威胁态势的实际发展来优先排序支出。此外,战略情报还能助力CISO们从长远角度证明自身行动和投资回报率。“很难理解CTI能力的投资回报率。将情报输入风险管理流程非常有用,因为你可以将威胁情报的一些输入量化到风险管理工作中。”Hull说道,他认为这可以引导CISO们迈向更复杂的网络风险量化分析之路。
五、轻视情报传播
即使CTI在收集利益相关者所需的确切优质情报方面表现出色,但如果这些情报没有被恰当地传递给需要的人——并且是以对他们来说有意义的格式呈现,那么所有这些工作都将付诸东流。
“情报传播阶段常常会遇到困难,这通常是CTI分析师处理和向利益相关者交付最终情报的时候。”Lerner说道。他解释说,许多情报团队并不擅长根据适当受众来定制信息。例如,如果为高管层准备的战略情报充斥着缩写和数据,那么它将无法提供太多价值;同样,如果战术情报以非结构化报告的形式呈现,SOC分析师难以处理,那么它也是不可用的。
确保专注且有针对性地传播情报的最佳方式是在需求阶段敲定细节,Hull表示。“当你设定这些需求时,你就确定了传播发生的频率以及传播机制。”他解释说,关键在于从一开始就确定如何使其最容易被相关利益相关者获取和共享。
显而易见,最大化网络安全项目中CTI价值并无捷径可走,但CISO们若能专注于避开上述五大误区,便更有机会从情报中获取最大收益,从而在网络安全的复杂战场上占据优势,守护企业的数字资产安全,实现安全投资的高效转化与持续增值。
