[[419806]]

網(wǎng)絡(luò)威脅情報(bào)(CTI)是當(dāng)下發(fā)展最快的網(wǎng)絡(luò)安全細(xì)分領(lǐng)域之一，不僅技術(shù)和產(chǎn)品在不斷更新和演進(jìn)，方法論和理念也在迅速發(fā)展。

過去幾年，無論安全組織是否有專職人員，CTI一直被視為安全組織內(nèi)的獨(dú)立支柱，它生成關(guān)于組織的各種威脅的報(bào)告。如今，CTI已經(jīng)由一個(gè)獨(dú)立支柱逐漸進(jìn)化為中心樞紐，為安全組織中的所有職能提供威脅相關(guān)的知識和優(yōu)先級信息。值得注意的是：這種變化需要思維方式和方法的轉(zhuǎn)變。

CTI概念的轉(zhuǎn)變

CISO 的傳統(tǒng)模型及其在安全組織中的不同職能

威脅情報(bào)方法的最新發(fā)展正在顛覆傳統(tǒng)的概念。威脅情報(bào)不再是一個(gè)獨(dú)立的支柱，而是應(yīng)該在每個(gè)安全設(shè)備、流程和決策事件中吸收和考慮的東西。因此，威脅情報(bào)從業(yè)者的任務(wù)不再是簡單地創(chuàng)建“威脅報(bào)告”，而是確保安全組織的每個(gè)部分都有效地利用威脅情報(bào)作為其日常檢測、響應(yīng)任務(wù)的一部分，并進(jìn)行全面的風(fēng)險(xiǎn)管理。

CTI工作流程的新趨勢

自動(dòng)化——由于缺乏訓(xùn)練有素的人力資源，組織正在其安全運(yùn)營中實(shí)施更多的自動(dòng)化。在SOAR技術(shù)的支持下，機(jī)器對機(jī)器的通信變得更加容易和主流。能夠自動(dòng)的從組織的CTI工具中提取數(shù)據(jù)，并不斷將其輸入各種安全設(shè)備和安全流程，而無需人工干預(yù)。簡單來說，就是支持將CTI無縫、近實(shí)時(shí)地集成到各種安全設(shè)備，以及自動(dòng)化決策過程中。

擴(kuò)大對威脅情報(bào)的訪問——威脅情報(bào)供應(yīng)商在使威脅情報(bào)民主化并使各種安全從業(yè)者易于在CTI解決方案上投入更多資金。例如，用于安全信息和事件管理 (SIEM) 的本機(jī)應(yīng)用程序，助力其實(shí)現(xiàn)將威脅數(shù)據(jù)與內(nèi)部日志，或?qū)⑼{上下文和風(fēng)險(xiǎn)分析注入瀏覽器的瀏覽器擴(kuò)展中。以前，組織有大量威脅數(shù)據(jù)需要人工審核并采取行動(dòng);如今，組織則擁有無縫集成到安全設(shè)備中的可操作洞察能力。

當(dāng)今 CISO 的新模式以及威脅情報(bào)在支持其組織中的不同職能方面的作用

CTI從業(yè)者的新使命

CTI 從業(yè)者的新使命是針對安全組織中的每個(gè)職能定制威脅情報(bào)，并使其成為該職能運(yùn)營不可或缺的一部分。同時(shí)，他們還要學(xué)習(xí)新的軟技能，以確保能夠與安全組織中的其他職能部門協(xié)作。CTI從業(yè)者新擴(kuò)展的思維方式和技能組合將包括：

• 與各種利益相關(guān)者建立密切的關(guān)系——如果內(nèi)部客戶不知道如何使用威脅報(bào)告，那么發(fā)送威脅報(bào)告是不夠的。因此，為了實(shí)現(xiàn)CTI的使命，與各個(gè)利益相關(guān)者建立密切的關(guān)系非常重要，這樣CTI專家才能更好地了解他們的痛點(diǎn)和需求，并為他們量身定制最佳解決方案。

• 對公司戰(zhàn)略和運(yùn)營有扎實(shí)的了解——CTI計(jì)劃成功的關(guān)鍵是相關(guān)性;如果沒有相關(guān)性，就會(huì)留下大量無法操作的威脅數(shù)據(jù)。CTI從業(yè)者只有在對公司業(yè)務(wù)、組織結(jié)構(gòu)圖和戰(zhàn)略清晰的情況下，才能實(shí)現(xiàn)相關(guān)的CTI。這種清晰性使CTI從業(yè)者能夠意識到與每個(gè)功能相關(guān)的智能，并根據(jù)每個(gè)功能的需求進(jìn)行定制。

• 對公司技術(shù)堆棧的深入理解——CTI 角色不僅需要對業(yè)務(wù)的理解，還需要對IT基礎(chǔ)設(shè)施和架構(gòu)有深入的技術(shù)理解。這些知識將使CTI專家能夠針對強(qiáng)加于公司技術(shù)堆棧的風(fēng)險(xiǎn)定制情報(bào)，并將支持制定將內(nèi)部日志與外部威脅情報(bào)相關(guān)聯(lián)的計(jì)劃。

以下是威脅情報(bào)團(tuán)隊(duì)需要實(shí)施的幾個(gè)流程示例，以便針對其他安全功能定制威脅情報(bào)，并使其成為其運(yùn)營不可或缺的一部分：

• 第三方違規(guī)監(jiān)控——了解最薄弱的環(huán)節(jié)可能是組織的第三方，因此及時(shí)檢測第三方違規(guī)變得越來越重要。CTI 監(jiān)控支持及早發(fā)現(xiàn)這些案例，并由IR團(tuán)隊(duì)跟進(jìn)，將風(fēng)險(xiǎn)降至最低。這方面的一個(gè)例子是監(jiān)控勒索軟件團(tuán)伙的泄漏站點(diǎn)，以查找屬于組織的從任何第三方泄漏的任何數(shù)據(jù)。

• SOC 事件分類——安全運(yùn)營中心(SOC)的主要任務(wù)之一是識別網(wǎng)絡(luò)事件并快速?zèng)Q定緩解步驟。通過威脅情報(bào)信息對每個(gè)事件的指標(biāo)(例如域和IP地址)進(jìn)行分類，可以極大地改善這一點(diǎn)。威脅情報(bào)是對這些事件進(jìn)行有效和高效分類的關(guān)鍵。這可以通過威脅情報(bào)瀏覽器擴(kuò)展輕松實(shí)現(xiàn)，該擴(kuò)展在SIEM中瀏覽時(shí)對IOC進(jìn)行分類。

• 漏洞優(yōu)先級流程——傳統(tǒng)的漏洞優(yōu)先級流程依賴于CVSS分?jǐn)?shù)和易受攻擊資產(chǎn)的嚴(yán)重程度。這將優(yōu)先重點(diǎn)放在漏洞利用的影響上，而很少關(guān)注這些漏洞被利用的可能性。來自暗網(wǎng)的黑客聊天和安全研究人員的出版物有助于更好地了解威脅行為者實(shí)際上利用某個(gè)漏洞發(fā)起網(wǎng)絡(luò)攻擊的可能性。此概率因素是漏洞優(yōu)先級排序過程中必不可少的缺失部分。

• 趨勢分析——CTI從業(yè)者可以訪問各種來源，使他們能夠監(jiān)控網(wǎng)絡(luò)安全領(lǐng)域、其特定行業(yè)或公司持有的數(shù)據(jù)中的趨勢。這應(yīng)該提供給領(lǐng)導(dǎo)層(不僅是安全領(lǐng)導(dǎo)層)，以便對現(xiàn)有風(fēng)險(xiǎn)做出明智、敏捷的決策。

• 威脅情報(bào)和網(wǎng)絡(luò)安全知識共享——與“傳統(tǒng)”情報(bào)一樣，知識共享也可以成為網(wǎng)絡(luò)情報(bào)的主要力量倍增器。威脅情報(bào)團(tuán)隊(duì)的目標(biāo)應(yīng)該是盡可能多地與其他安全團(tuán)隊(duì)，尤其是他們工作的行業(yè)，建立盡可能多的外部合作。這些信息可以讓組織團(tuán)隊(duì)和CISO從業(yè)者更好地了解與公司相關(guān)的威脅形勢。

雖然不斷發(fā)展的CTI模型使威脅情報(bào)實(shí)施變得更加復(fù)雜，因?yàn)榘伺c不同功能的協(xié)作，但這種進(jìn)化也使威脅情報(bào)比以往任何時(shí)候都更有價(jià)值和影響更大。網(wǎng)絡(luò)威脅情報(bào)正在迎來黃金時(shí)代。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文