威胁情报的下一步:数字风险保护
虽然入侵指标(IoC)和攻击者策略、技术和流程(TTP)仍然是威胁情报的核心内容,但在数字化转型、云计算、SaaS应用和远程办公的推动下,市场对网络威胁情报(CTI)的需求在过去几年正在发生变化,其中最值得关注的趋势之一就是数字风险保护(DRP)在威胁情报计划中的重要性不断提升。数字风险保护的宽泛定义是:“用于识别和缓解与数字资产相关的风险的遥测、分析、流程和技术”。
根据上月ESG发布的威胁情报市场报告,虽然大多数CISO都在威胁情报领域投资,但普遍面临困境:近四分之三(74%)的企业声称在威胁情报生命周期的不同阶段遭遇瓶颈。
业界对威胁情报的定义大致为:“关于网络对手敌对意图的循证可操作知识”。过去,此定义主要针对IoC数据、信誉列表(例如,已知错误IP地址、Web域或文件的列表)以及TTP的详细信息,并未覆盖数字风险保护。
数字风险保护推动威胁情报的采用
数字风险保护的情报部分内容主要包括对用户凭据、敏感数据、SSL证书或移动应用程序等内容的持续监控,以查找通用弱点、黑客交流内容或恶意活动。例如,恶意移动应用程序或欺诈网站可能冒充企业品牌发起网络钓鱼活动。企业泄露的凭据可能会在暗网上出售,黑客可能正在交换针对企业的攻击想法。
ESG报告显示,数字化转型计划的激增正在成为企业威胁情报计划的催化剂。当被问及为什么启动威胁情报计划时,38%的受访者表示其目的是:“作为品牌声誉、高管保护,以及深网/暗网监控等更广泛的数字风险保护工作的一部分。”
研究还表明,98%的企业现在都部署了某种形式的数字风险保护措施。
数字风险保护的六大功能
根据ESG的调查,企业安全专业人士最看重数字风险保护的以下六大功能:
- 漏洞利用情报:漏洞管理程序会定期发现成百上千个软件漏洞,优先级排序成为难点。企业可通过数字风险保护应用了解黑客正在利用哪些漏洞,为漏洞修补优先级提供有用的情报。当然,该任务也可以通过基于风险的漏洞管理工具来完成。
- 删除服务:英国国家网络安全中心对删除服务的定义如下:“删除服务旨在通过删除站点和阻止任何攻击基础设施来限制这些攻击可能造成的伤害,从而降低攻击者的投资回报。”当发现欺诈性网络钓鱼网站或移动应用程序时,删除服务是降低风险的最短途径。
- 泄露数据监控:无论是内部攻击、员工疏忽或草率行为,数据泄露都非常普遍。数字风险保护计划能在泄露数据给公司造成重大损失之前及时预警。
- 恶意移动应用程序监控:一些伪装成合法软件的“灰色软件”和恶意软件可以破坏用户设备或玷污组织声誉。数字风险保护可以在合法(例如Google Play和Apple Store)和地下应用程序商店中找到并遏制此类软件的传播。
- 品牌保护:品牌保护服务可保护公司及其相关品牌的知识产权(IP)免受造假者、版权盗版、专利侵权等侵害,也能对(仿冒公司品牌的)网络钓鱼站点甚至虚假实物商品进行监控。数字风险保护应用能够扫描互联网以查找冒名顶替者、假货和诈骗。
- 攻击面管理(ASM):ASM是对企业攻击面上所有数字资产的持续发现、监视、分析和修复。在某些情况下,ASM包含在数字风险保护服务中。
数字风险保护还可以包括暗网监控,用于监控有关企业的网络舆情和潜在的针对性攻击计划。此类情报可帮助企业在网络安全护城河之外编织一层防护网。
许多企业没有选择在本地部署自己的数字风险保护程序,而是使用数字风险保护服务提供商,例如CrowdStrike、Cybersixgill、Digital Shadows(Reliaquest)、Intsights(Rapid 7)、Mandiant、Proofpoint和ZeroFox等。
在企业数字化转型进入广阔的深水区,被动安全体系捉襟见肘的今天,无论以何种形式部署,数字风险保护都应该是成熟网络威胁情报计划的重要组成部分。在将这两个领域合并在一起之前,CISO应使用威胁情报生命周期方法实施数字风险保护。成功的数字风险保护计划需要创建明确的优先情报要求(PIR)、强大的分析、定制的情报报告和持续反馈来推动。