如何利用网络威胁情报主动降低网络风险

在2022年，一个好的网络安全防御有很多层. 其中一层在今天比几年前更为重要. 为了保卫堡垒，人们需要尽可能多地了解攻击者. 在网络安全领域，这需要足够的网络威胁情报. 一个好的将军在不了解攻击者的能力和优势的情况下是不会参加战斗的. 在 兵法，孙子说:

因此, 是什么使一个好将军能够进攻和征服, 成就常人无法企及的事, 是先知. Now th是先知 cannot be elicited from spirits; it cannot be obtained inductively from experience, 也不是通过任何演绎的计算. 敌人的部署情况只能从别人那里获得.¹

网络威胁情报是使用各种工具和技术对相关威胁数据进行分析，以降低风险的方式收集有关针对组织的现有或新出现的威胁的有意义信息. 网络威胁情报项目可能会提供有关工业垂直攻击的信息. 威胁情报的一个方面可能是暗网侦察, 哪些可以泄露被盗的凭证和有价值的网络信息，这些信息可以用来帮助威胁组织破坏网络. 网络威胁情报的收集使组织能够迅速, 更明智的安全决策和改变他们的行为从被动到主动对抗网络攻击.

网络威胁情报也可以与网络安全计划一起编织到组织的整体风险管理计划中. 在查看澳门赌场官方下载的风险概况和业务影响分析时, 增加可快速操作的项目，如威胁情报，提供了一种明确的方法来降低风险，并为保护网络所需的许多不断变化的层增加了一个新的层.

为什么要收集网络威胁情报?

网络威胁情报使组织通过建立逻辑防御，而不是被迫对未知场景和对手做出反应，来积极主动地利用他们的情报能力. 不了解安全漏洞, 威胁指标, 攻击工具, 以及威胁是如何实施的, 有效打击网络攻击是不可能的. 使用威胁情报, 澳门赌场官方下载安全团队可以更快地预防和遏制攻击, 减少任何开支, 停机时间, 在遭受网络攻击时数据也会丢失. 威胁情报可以全面提高澳门赌场官方下载的安全性, 包括网络, 端点, 终端用户, 云安全. 这一安全层进一步降低了风险，应该尽可能充分利用这一层.

不了解安全漏洞, 威胁指标, 攻击工具, 以及威胁是如何实施的, 有效打击网络攻击是不可能的.

网络威胁情报有哪些类型?

网络威胁情报可分为战略、战术、技术或操作. 为了确保可靠的数据收集，有必要检查四类威胁情报:

1. 战略网络威胁情报提供组织威胁状况的概述. 它不包括技术细节，可用于执行级别的安全专业人员，以根据调查结果驱动高级组织策略. 在理想的情况下, 战略网络威胁情报提供与组织的威胁形势相关的漏洞和风险信息. 它详细说明了预防措施, 威胁行为者及其目标, 潜在袭击的严重程度和影响.
2. 战术网络威胁情报包含威胁行为者战术的具体细节, 技术和过程(TTP)，主要用于帮助澳门赌场官方下载安全团队了解攻击向量. 这种类型的情报提供了如何构建防御策略以减轻攻击的见解. 一份战术网络威胁情报报告详细介绍了网络外围基础设施中攻击者可能渗透的漏洞，以及如何识别此类攻击. 该报告的发现用于改进现有的安全控制/防御机制，并帮助网络专业人员识别和消除网络中的漏洞.
3. 技术网络威胁情报关注具体的日志细节, 工件或攻击的证据，并创建一个基线，通过扫描入侵指标(ioc)来分析未来的攻击.g.，互联网协议[IP]地址，网络钓鱼电子邮件，恶意软件，恶意链接). 技术情报必须在收集后立即共享，因为诸如恶意IP地址或统一资源定位器(url)之类的ioc可以非常迅速地更改.
4. 作战网络威胁情报——是否与威胁组织发起的网络攻击、事件或活动有关. 它提供专门的情报，帮助澳门赌场官方下载安全团队理解其本质, 特定攻击的意图和时间. 因为这通常包含非常技术性的信息，比如正在使用哪个攻击向量, 正在使用哪些命令和控制域, 以及哪些漏洞正在被利用, 作战网络威胁情报也可以被认为是一种技术网络威胁情报. 技术信息的一个常见来源是网络威胁数据馈送, 哪一种通常只关注一种指标, 例如恶意软件散列或可疑域. 关于特定攻击的其他信息可以来自封闭的来源，例如拦截威胁组通信, 要么通过秘密渗透，要么通过侵入通讯渠道. 通常，暗网侦察可以用于此过程. 事实上，一名安全分析师可能正在暗网上秘密收集这些信息. 在某些情况下, 分析师可能是威胁组织的卧底虚拟成员，可以使用信息来保护他们的澳门赌场官方下载或客户.
   因此，收集运营网络威胁情报存在以下几个障碍:
   
   • 威胁组织通常通过加密或私人聊天室进行交流, 进入这些渠道是具有挑战性的，需要花费相当多的时间.
   • 很难从聊天室或其他沟通渠道的大量谈话中收集相关情报.
   • 威胁组织可能会使用混淆, 隐晦的或模棱两可的语言，因此没有人能听懂谈话.
   
   作战网络威胁情报侧重于有关实际攻击的信息. 它提供了对技术等因素的详细见解, 动机(通常是经济动机), 时机和攻击如何成功.

网络威胁情报解决方案还可以依靠机器学习(ML)流程和人工智能(AI)进行大规模的自动数据收集和分析.² 使用自然语言处理(NLP)的解决方案, 例如, 是否能够从多种语言来源收集信息，而不需要人工翻译.

建立网络威胁情报计划

大多数网络威胁情报程序将数千个网络威胁情报馈送合并为一个馈送. 这使得集合一致, 关于网络威胁事件的简明和可操作的详细信息，使网络专业人员能够识别威胁组活动的趋势或变化. 一个好的程序以一种允许有效的信息共享和威胁分析的方式一致地描述网络威胁活动. 它通过将提要与内部遥测技术进行比较来帮助澳门赌场官方下载安全团队，并创建带有特定警报的用例.

一个好的[网络威胁情报]项目能够以一种允许有效信息共享和威胁分析的方式持续描述网络威胁活动.

从收集到的威胁数据中提取相关的网络威胁信息, 必须以结构化的方式对其进行处理和分析，以加强安全控制并防止未来的网络攻击.

威胁情报的澳门赌场官方下载目标
在创建网络威胁情报计划时，将澳门赌场官方下载安全目标与业务目标保持一致是至关重要的. 数据、资产和业务流程(例如.e.皇冠上的珠宝)³ 应该很好地定义需要保护的资产，并为这些资产的损失创建详细的业务影响分析报告. 这有助于确定需要哪种类型的网络威胁情报，谁应该传播信息，并负责根据收集到的情报建立防御或警报.

网络威胁情报策略与应用
网络威胁情报战略需要非常详细的规划和工具的应用, 技术, 和方法, 随后进行定期和文件化的评审，以检查计划的有效性. 在制定战略时, 必须考虑他们的网络威胁情报能力，并相应地构建程序, 这可能包括从整个组织的不同部门获得支持.

网络威胁情报框架

网络威胁情报框架通过管理创建必要的情报来应对网络攻击, 检测并提醒澳门赌场官方下载安全的潜在威胁. 它提供了一个可行的威慑计划, 通过收集最新的威胁信息，阻止或缓解攻击.

网络威胁情报可以通过多种方式收集，包括:

• 数据收集使用开源情报(OSINT) -这包括通过开放资源(如搜索引擎)收集数据, web服务, 网站分析及日志, 电子邮件, 域名查询服务查询,⁴ 域名系统(DNS)查询，或使用工具、框架或脚本的自动化工作.
• 通过网络反情报(CCI)收集数据通过这种方法, 通过蜜罐收集相关威胁数据, 无源DNS监控, 转移对手的基础设施, 暗网侦察, 恶意软件灰岩坑, 还有另一个递归/荒谬的缩写(YARA)规则.
• 数据收集使用人类智能(HUMINT) -这个过程包括通过基于人类的社会工程技术收集数据, 面谈和审讯. 分析师可能会搜索Facebook等社交媒体平台, 推特, 或领英(LinkedIn)来查找可能被用来攻击澳门赌场官方下载网络的信息. 这些信息可能是由善意的雇员发布的, 但它可能会在不经意间泄露有价值的细节，这些细节可能被用来破坏澳门赌场官方下载网络.
• 通过ioc收集数据数字证据数据是从内部和外部来源收集的, 并创建自定义威胁ioc.
• 通过恶意软件分析收集数据恶意软件分析是了解其起源的过程, 影响, 恶意软件的意图和能力，以及它如何通过部署分析工具发挥作用. 恶意软件以许多隐蔽的方式发挥作用，并收集有关用户的宝贵信息, 账户和网络.

结论

通过探索这一假设情景，观察网络威胁情报如何防止重大影响是很重要的. 考虑一下虚构澳门赌场官方下载小部件有限公司的首席信息安全官(CISO). 作为其防御的一部分，它已经实施了一个强大的网络威胁情报计划. 今天, 首席信息安全官收集的网络威胁情报显示，一个特定的威胁组织已经渗透到另一家销售小部件的澳门赌场官方下载的网络中. 该威胁组织窃取了有关设计和构建小部件的宝贵数据，并在暗网上的商店里向任何拥有足够加密货币的人出售这些信息. 想象一下这对组织的影响. 这不是一幅美好的图景.

作为这种智慧的一部分, 首席信息安全官通过一封来自特定IP地址的网络钓鱼邮件了解到数据泄露的发生, 有一个特定的主题行和电子邮件正文. 从Widgets公司的首席信息安全官开始. 是否有健全的网络威胁情报实践, 组织可以在防火墙和简单邮件传输协议(SMTP)网关上阻止该IP地址和电子邮件主题. 小部件有限公司. 是否还可以向所有用户发送有关该情况及其带来的风险的警告.

有了这种方法，威胁组织就有机会攻击Widgets公司. 都被挫败了，他们将被迫瞄准另一个澳门赌场官方下载. 这是一个简单的场景，说明了强大的网络威胁情报的好处, 但是还有很多其他的例子.

主动了解攻击者的战术和能力的能力为防止攻击者进入堡垒或对堡垒的墙壁造成任何损害提供了绝佳的机会.

尾注

¹ 志,年代.; 战争的艺术，网络经典指南
² 记录未来团队，”机器学习:网络安全的实际应用，《澳门赌场官方下载》，美国，2018年3月14日
³ 巴内特,P.; “保护皇冠上的宝石:保护关键资产，《澳门赌场官方软件》，2021年11月11日
⁴ 域名查询服务.com, 域名查询服务域名查找

帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP

是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验，专门从事网络工程，专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO)，并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理，并致力于帮助组织制定适当的政策, 响应任何大小的安全事件的过程和机制.