本文来自微信公众号“GoUpSec”。
GoUpSec点评:哈马斯对以色列的大规模突袭让以情报能力著称的以色列情报机构和CIA颜面扫地,同时也凸显了在这个“情报过剩”时代威胁情报能力钝化的危险性;无论是武装冲突还是网络攻击,威胁情报的失能注定会给国家和企业带来难以估量的巨大损失。
在企业数字化转型的浪潮中,主动安全防御能力成为决定企业生存和发展的关键因素,而威胁情报则是主动安全防御战略成败的关键要素。作为企业网络安全的守护者,首席信息安全官(CISO)面临着诸多的挑战,其中最为关键也最为困难的一项挑战便是如何让威胁情报在企业的主动安全防护体系中发挥最大的价值。
虽然越来越多的CISO意识到威胁情报能力的重要性,但很大一部分CISO表示,他们在威胁情报的使用方面存在不足。根据Searchlight Cyber 2023年3月的调查报告,93%的受访CISO担心暗网威胁,但多达21%的CISO根本没有威胁情报能力。
ESG在2023年3月的报告中指出,多达46%的CISO不会定期使用威胁情报报告。
如今,几乎所有安全团队都在安全工具和服务中内置了一些威胁情报,相关工具和服务几乎已成为所有企业网络安全产品的标准配置,威胁情报市场的工具和服务可谓极大丰富,但企业威胁情报的价值却并未兑现,根据ESG二季度的威胁情报市场报告,虽然大多数CISO都在威胁情报领域投资,但普遍面临困境:近四分之三(74%)的企业声称在威胁情报生命周期的不同阶段遭遇瓶颈。
德勤网络安全检测与响应咨询解决方案负责人Kevin Urbanowicz表示,真正的问题不在于CISO能否使用威胁情报,而是能否发挥威胁情报的价值:“这就是我们看到的问题所在——威胁情报使用的有效性。”
实施威胁情报是网络安全防御战略的关键
零售与酒店业ISAC情报运营副总裁Bryon Hundley指出:“忽视威胁情报的后果包括:缺乏对新兴威胁的可见性、检测和响应速度较慢、事件响应无效、合规风险和财务损失。此外,如今攻击者都已经开始使用威胁情报服务,作为防御者没有理由不重视威胁情报。”
很多经验丰富的CSIO、安全研究人员和其他安全领导者表示,如今企业并不缺乏可用的威胁情报,真正的问题在于安全团队能否有效地运用威胁情报。Forrester首席分析师Brian Wrozek表示,威胁情报的应用主要有以下三种方式:
第一个是战术性的,通常是自动化的使用。例如,当工具制造商获得有关被视为有问题的新地址的情报时,阻止危险IP地址的安全工具会自动更新。
第二个是融入安全运营,这是安全成熟度规模的一个进步,例如CISO及其团队使用威胁情报指导事件响应。例如,威胁情报可以告知团队,如果他们在环境中发现某种类型的威胁,下一步应该采取什么措施。
第三个是战略性的,这是对威胁情报最复杂的运用。CISO将威胁情报与威胁态势、IT环境、组织和行业结合进行综合研判,以制定安全职能部门和整个组织的安全战略决策。
就后两种应用方式而言,许多CISO尚未真正有效地利用威胁情报。“威胁情报不属于CISO日常运营的一部分,”Champlain College Online首席学习官、网络安全和数字取证副教授Sergio Tenreirode Magalhaes表示。
恰恰是在后两个应用领域中,威胁情报可以提供显著的优势,因为威胁情报使企业能够更准确地确定有限安全资源的优先级,更好地准备防御,并就下一步的发展做出更明智的决策。
换而言之,威胁情报的后两种应用方式对于创建“威胁知情防御”至关重要。
Insight副总裁兼CISO、EMC安全部门RSA前高管Jason Rader表示,威胁情报使他的团队能够在Apache Log4j中的关键漏洞披露后防止任何潜在事件。
他说,拥有一支能够运用威胁情报的团队“是网络安全从被动到主动的决定性因素;这是为了预防火灾,而不仅仅是扑灭火灾。”
发挥威胁情报价值的挑战
与安全领域的许多应用一样,在战术、运营和战略三个层面有效利用威胁情报说起来容易做起来难,CISO在这方面的努力通常面临无数挑战。
Urbanowicz表示,威胁情报面临网络安全领域的常见问题——最大的挑战是难以找到合适人才。CISO通常专注于雇用技术上合格的员工,并且在大多数情况下,这种方法是有效的。然而,优化威胁情报的价值需要分析技能和态势感知——这些技能使安全团队能够将数据转化为可操作的项目。
“企业的威胁情报大多仍停留在定性分析层面,需要更具分析性的思维方式,而具有这种思维方式的员工目前并不是企业招聘网络安全人才的第一选择。”Urbanowicz说。
安全人才还需要对企业的IT环境、业务运营、战略和部门有足够的洞察力。这些见解使威胁情报分析师能够首先确定哪些威胁情报源和报告对组织最重要,其次关注这些情报报告中对企业安全态势最有意义的数据。
安全团队还需要知道如何处理这些情报——这可能需要企业微调安全事件和信息管理(SEIM)系统、投资更好的威胁检测工具,或者调整业务策略以响应不断变化的威胁形势。
提高威胁情报能力的五大关键举措
1.构建全面的威胁情报体系
构建一个全面的威胁情报体系,不仅需要技术的支持,更需要企业文化和组织结构的配合。CISO需要推动企业形成一个安全意识强烈的文化氛围,确保每一个员工都能成为企业安全的参与者和守护者。
在技术层面,CISO需要关注威胁情报工具和平台的选择和部署。一个好的威胁情报工具,不仅能够帮助企业收集和分析威胁情报,还能够将威胁情报与企业的安全防护体系紧密结合,实现威胁情报的实时响应和利用。
2.推动威胁情报应用的“落地”,融入日常安全运营
威胁情报的价值体现在其实际的应用中。CISO需要将威胁情报与企业的安全策略、安全防护体系和安全响应流程紧密结合,确保威胁情报能够在企业的日常安全运营工作中发挥实际作用。
这需要CISO具备一定的战略眼光和执行力。在战略层面,CISO需要能够识别和把握威胁情报在企业安全工作中的关键作用;在执行层面,CISO需要能够推动威胁情报在企业各个部门和层面的实际应用和落地。
3.深化威胁情报的跨部门协同
在实际的企业运营中,威胁情报的应用往往涉及到多个部门的协同合作。例如,IT部门、运营部门、法务部门等可能都需要参与到威胁情报的分析和应用中来。CISO需要推动这些部门之间的深度协同,确保威胁情报能够在企业中流动和应用。
这不仅需要技术平台的支持,更需要CISO在组织协调和沟通方面的能力。如何打破部门间的壁垒,推动威胁情报的跨部门协同,将是CISO在实际工作中需要不断探索和实践的方向。
4.提升威胁情报的实时响应能力
在面对网络安全威胁时,实时响应的能力至关重要。CISO需要关注如何提升企业在获取威胁情报后的实时响应能力,确保能够在面对网络攻击时,迅速采取有效的防护措施。
这需要CISO在威胁情报的获取、分析和应用上,形成一套高效流畅的工作机制。同时,也需要CISO关注技术和工具的选择和部署,提升企业在威胁情报应用上的技术支持能力。
5.强化威胁情报的分析和研判
威胁情报的分析和研判能力,直接决定了威胁情报能否被有效利用。CISO需要关注如何强化企业在威胁情报分析和研判上的能力,确保威胁情报能够在企业的安全工作中发挥出实际的价值。
结论:威胁情报能力建设将成为“刚需”
Tenreirode Magalhaes表示,CISO在尝试解决这些挑战时常常面临一个首要障碍:即获得购买情报报告所需的资金以及支付使用情报所需的员工费用。
但Forrester分析师弗罗泽克表示,忽视威胁情报能力的现状不会持续太久,有效利用威胁情报“正逐渐成为企业安全计划的一个刚性需求”。
越来越多的CISO也开始明白这一点。
2023年大多数CISO都在有意识地增强其威胁情报能力。Forrester Research的报告称,近三分之二的受访安全决策者从2022年到2023年增加了威胁情报技术上的支出。
Forrester在其2022年安全调查中还发现,22%的安全技术决策者将提高威胁情报能力视为IT战术安全的首要任务,威胁情报在网络安全战术层面的优先级例表中排名高居第三。