新興威脅情報工具旨在提高數據安全性以及規范整個行業的威脅情報。在本文中，專家Kevin Beaver對此進行了詳細介紹。

你的企業正在使用威脅情報嗎?如果是這樣，你可能已經注意到這種信息缺乏標準化，并且，組織和政府機構之間缺乏合作。

從早期的Infragard以及隨后政治家推動的網絡安全立法來看，我們一直有著收集、分析和共享威脅情報的長期目標。

現在，新出現的框架和服務正在幫助企業更好地了解那些蓄意對其網絡和企業造成傷害的攻擊者。然而，對于不同行業的企業，威脅情報并沒有標準化。每個企業都使用不同的方法，他們面對著不同的威脅源，對收集的數據采用不同的分析和處理方式。僅僅因為企業和政府機構正在收集有價值的情報，并不意味著他們正在以正確的方式利用這些情報。在很多情況下，審查這些信息的IT和安全人員甚至可能不知道他們在看什么或者無法把情報應用到具體的情況。

在本文中，我們將看看一些新興的威脅情報工具和標準，并探討企業應該如何更好地評估威脅情報工具和標準。

新興威脅情報工具和標準

有些威脅情報工具和標準沒有機會得以發展，下面是Gartner列出的一些旨在改進這個難以捉摸的安全領域的新興威脅情報標準：

• CyboX(網絡可觀察表達式)是MITRE公司運行的語言/模式，用以在操作領域可觀察到的事件或狀態屬性的規范、捕捉、特征描述和通信。

• OpenIOC(開放威脅指標)由MANDIANT公司創建，它是共享威脅情報的框架。它被定義為描述技術特征的XML架構，這些技術特征可識別已知威脅、攻擊者的方法或其他威脅指標。

• STIX(結構化威脅信息表達式)是由MITRE開發的語言，它使用CyboX來以標準化和結構化的方式來描述威脅信息。

• Taxii(可信自動交換指標信息)也是由MITRE創建，它定義了一組符合和信息交換，以實現跨企業和產品或服務界限可操作威脅信息的共享。

這個領域的商業供應商包括Cyveillance和DigitalStakeout。Matltego在這個領域也有一席之地，它是來自Paterva的工具，在信息安全顧問和滲透測試者中很受歡迎。

尋找合適的威脅情報工具

從理論上來看，使用上述的開源和商業工具獲取和共享威脅情報可以帶來很多好處。在理想的世界，所有企業、組織和政府機構可以使用開放的威脅信息工具組來更好地打擊威脅。

然后出現的是信任問題。

誰可以訪問收集的有關企業網絡信息?企業可以信任哪些具體情報來源?企業是否愿意執行第三方建議?企業將如何整合所有資源來創建可操作的數據泄露事故響應和風險緩解策略及戰術?

現實情況是，大多數企業沒有時間、資金和精力來應對威脅。這與國家抵御恐怖主義威脅沒有什么不同。企業和國家資源有限，而恐怖分子或其他攻擊者則總是會領先幾步。

不要盲目跳上威脅情報的行列;在網絡安全領域，營銷人員總是夸夸其談。企業應該放眼更大的藍圖，并應該問自己：

• 我們想要實現什么目標?

也許企業需要獲取有關其企業或行業具體威脅情報的詳細信息，以盡量減少IT風險，或者只是為了滿足審核要求。企業應該只選擇開源工具嗎?還是更應該選擇商業供應商的產品?很多人投資于安全技術而不去考慮他們為什么這樣做。企業應該明確自己的目標。

• 現有網絡和安全技術是否應該結合威脅情報工具，或者提供支持?

需要考慮的包括惡意軟件保護、網絡分析、社交媒體監測、事件關聯和安全信息及事件管理系統，甚至還有企業品牌保護。

• 企業可以通過其現有供應商訂閱威脅情報源嗎?

• 很多供應商(例如思科和戴爾公司)整合了這種情報到其自己的產品和服務中。

• 誰來管理?每次企業部署新的網絡安全技術，都需要放棄部分目前運行的東西或者使用新的資源。預算是否支持這一點?

• 企業如何衡量成功?

網絡威脅情報很好，但在某些時候，企業將需要得到一些有形的結果，除了從其現有網絡安全產品已經實現的結果。所有這些威脅情報資源的最終目標是幫助企業做出更明智的決策，以盡量減少其信息風險。

筆者認為，企業可以投資于世界上最好的情報信息，部署最好的技術來抵御威脅，并且獲得良好的審計結果，然而，其網絡仍可能非常容易受很多IT和安全管理程序錯過的簡單漏洞的影響。

根據筆者的經驗，以及基于我們在年度數據泄露事故報告所看到的結果，大多數企業在了解更多威脅情報之前應該更好地了解自身的安全漏洞。解決漏洞根源，那么發現這些漏洞的攻擊者就沒機會了。

盡管如此，威脅情報肯定有用武之地，特別是在高風險行業和聯邦政府機構。

企業應該看看CyboX、OpenIOS、STIX和Taxii，以及上述的商業產品。沒有威脅情報戰略的企業將會從中受益，即使是那些具有更成熟情報程序的企業也能夠受益——例如通過利用這些新興標準來結合現有的控制。

對于企業，重要的是在問題或攻擊發生之前，考慮威脅情報。很多人將威脅情報視為事后的考慮，或者供應商或政府機構正在處理的事情。這是不正確的。

這仍然是“無人地帶”，所以每個企業都需要自己探索。