充分利用网络威胁情报

网络风险就是商业风险. 澳门赌场官方下载正在数字化，政府正在制定促进数字化和智慧城市项目的政策. 虽然这有助于公民和组织采用技术进步, 网络攻击持续增加, 在频率和复杂程度上, 对必须保护其数据和系统免受威胁的组织构成重大挑战.

大多数组织将其IT安全管理任务外包给MSSP(托管安全服务提供商)，很少有组织仍然保留其内部SOC(安全运营中心)。. 这些组织通常只使用安全设备监视管理服务(例如托管防火墙服务)开始他们的旅程，然后慢慢地使用SIEM解决方案组件添加安全事件监视. 日益增长的威胁形势和招聘具有所需专业知识的安全网络安全专业人员的困难使得组织更难以理解这些工具, 对手使用的技术和战术.

网络威胁信息共享的需求
最近，政府和组织越来越了解对网络威胁情报的需求. NIST的鼓励 加强网络威胁信息共享 在组织.

在当今庞大的安防产品和服务行业中, 诸如防火墙之类的产品, 端点保护和托管安全服务(MSSP), 通过威胁情报能力得到加强. 威胁情报周期有几个关键步骤，如下图所示.

根据Gartner, “威胁情报是基于证据的知识, 包括上下文, 机制, 指标, 对资产现有或新出现的威胁或危险的影响和面向行动的建议. 这种情报可以用来决定受试者对威胁或危险的反应.”

为安全行动提供网络威胁情报
经常, 组织需要快速检测威胁，不想浪费时间调查错误的负面警报, 从而更快地修复漏洞并减轻攻击向量. 安全运营中心存在的典型问题有:

• 我们的敏感信息泄露了吗?
• 在接下来的几个月里，哪些威胁行为者可能会以我的组织的能力为目标?
• 谁是我最大的对手? 他们可信吗??
• 我能在短时间内得知他们的活动吗? 他们经常去哪些地下站点? 谁与这些敌人有关联?
• 连接到这个互联网协议(IP)地址坏了吗? 谁拥有知识产权? 此IP地址连接到哪个互联网服务提供商(ISP)? 该公司还注册了哪些其他IP地址?
• 这个URL危险吗?? 谁注册了域名?? 他们登记了其他人吗?? 如果有，是哪些? 该网站提供了哪些类型的威胁? 是否有其他恶意活动链接到此URL?
• 在我的环境中，哪些漏洞“在野外”被积极地利用? 谁是出售或使用这些漏洞的威胁参与者? 哪些恶意软件和其他威胁正在利用这些漏洞? 哪些类型的组织受到了这些威胁的攻击?
• “零日攻击”的谣言是真的吗?
• 坏人对我的组织和员工了解多少? 他们是否出售对我的系统或知识产权的访问权限?

如果网络威胁情报可以提供上述问题的答案, 它允许安全团队更有效地处理威胁.

在当今的安全运营中心中，安全遥测与网络威胁情报的使用案例丰富
采用以用例为中心的观点，仍然是开启SOC网络威胁情报之旅和改进整体安全计划的理想和务实的方式. 一些用例/例子包括:

• SIEM工具集成 用于维护威胁监视列表，并使用从现有SIEMs流入的现有日志. 威胁情报数据与现有日志重叠，通过匹配入侵指标(ioc)检测威胁。, 例如IP地址, 文件散列和域名(例如:IBM XForce威胁情报), eclectiq的聚变中心, Anomali).
• 威胁情报 是近年来入侵检测和保护(IDP)的福音, 许多客户报告说，只要为其IDP系统启用情报订阅，就可以提高对一系列威胁的检测和阻止能力(例如:趋势科技针对其TippingPoint IDP的Reputation数字疫苗), 帕洛阿尔托网络的MindMeld).
• 网络钓鱼 一个有害的、普遍存在的威胁是否仍然是获取组织资源的有效途径. 威胁情报可以帮助识别网络钓鱼活动的元素，以加快检测/响应行动，并帮助采取主动措施, 例如预防/预测(例如:的构建), ThreatConnect).
• 漏洞管理优先级 已经不再考虑漏洞的严重性了吗. 相反，No. 我的首要任务是“你的哪些漏洞正在被利用”.威胁情报使组织能够确定哪些漏洞构成最大的风险(例如:Kenna Security), Recorded Future).
• 表面，“深度”和“暗”网络监控 客户可以使用威胁情报服务来获得威胁的预先警告，并更好地了解威胁是如何工作的，以及它们在哪里被发现. 这有助于他们执行品牌监控(例如:ZeroFOX, 克拉目标威胁情报, SpyCloud).

市场上有很多网络威胁情报服务提供商, 而且这个数字似乎还在增长. 并非所有标榜为威胁情报的服务实际上都提供这种类型的内容, 所以了解客户想要解决的问题是很重要的. 虽然目前市场上既有基于商业的付费服务，也有开源提要, 安全操作需要验证帮助他们获得的解决方案, 收集他们需要的威胁情报并采取行动.

作者简介: 拉苏尔·卡里姆·伊尔凡是一位值得信赖的网络安全顾问，在包括医疗保健在内的各个垂直行业拥有丰富的经验, 生命科学, 银行, 金融类股, 保险及电讯业. 持有CISM等全球安全认证, 另一, ISO27001主审核员)和多厂商技术认证(如Palo Alto, 赛门铁克, 思科, 检查点, 的构建). 他是著名的博主。www.rasoolirfan.com)，包括网络安全领域, 区块链, 物联网, 人工智能, 机器人过程自动化, 开放计算项目, 和云, 并与著名的国家和国际论坛和机构密切合作.