网络威胁智能的定义
数字化转型虽然创造了更大的数据资产,但也为网络犯罪分子开辟了新的攻击途径。不法分子的战术复杂多变,公司很难提前防范新出现的威胁。网络威胁智能为企业提供持续优化防御所需的信息和能力。
网络威胁智能是帮助组织更好地防范网络攻击的信息。它包括数据和分析,使安全团队能够全面了解威胁环境,以便他们能够就如何准备、检测和响应攻击做出明智的决策。掌握有关不法分子的行为、工具和技术、漏洞攻击、目标漏洞和新兴威胁的重点信息,可帮助组织确定其安全工作的优先顺序。
威胁情报的工作原理是什么?
威胁情报平台分析大量有关新兴或现有威胁的原始数据,以帮助你快速做出明智的网络安全决策。可靠的威胁情报解决方案每天将全球信号绘图,分析这些信号以帮助你主动应对不断变化的威胁环境。
网络威胁智能平台使用数据科学来筛选掉误报,并优先处理可能导致实际损害的风险。这些数据来自:
- 开源威胁情报 (OSINT)
- 威胁情报源
- 内部分析
简单的威胁数据馈送可能为你提供有关最近威胁的信息,但该非结构化数据没有意义,无法确定你最容易受到的威胁,也无法建议在发生泄露后采取的操作计划。这项工作通常由人工分析人员完成。
威胁情报解决方案在理想情况下包含使用 AI、机器学习以及安全编排、自动化和响应 (SOAR) 等高级功能的工具,可自动执行许多安全功能,帮助你预先阻止攻击,而不仅仅是对攻击做出反应。安全专业人员借助威胁情报,能够在发现攻击后自动执行修正操作,例如阻止恶意文件和 IP 地址。
为什么威胁情报很重要?
威胁情报非常重要,因为它可帮助组织确定策略和战术的优先顺序,以便更好地防范动态威胁环境。掌控源源不断的新威胁信息并确定哪些信息是相关的和可操作的,确实比较有挑战性。
威胁情报与通过机器学习和自动化(如安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR))扩充的工具结合使用时,可以通过以下方式增强威胁检测和响应效果:
- 揭露你可能的对手及其动机。
- 公开攻击者的战术、技术和过程 (TTP)。
- 显示各种攻击影响业务可能采取的不同方式。
- 识别指示存在主动入侵的常见入侵指标 (IOC)。
- 建议在受到攻击时要采取的一组操作。
- 自动阻止整个攻击。
- 使用丰富的威胁数据为更广泛的安全策略和工作流提供信息。
威胁情报对安全团队的好处
任何企业都可以使用威胁情报改善其安全状况。它为中小型企业提供在战略上抵御勒索软件和其他风险所需的信息。但是,企业中的安全团队和管理人员也可从威胁情报中获得很多好处。
除了更好地使用人工技能和更快响应威胁之外,威胁情报解决方案还为以下许多角色的人员提供新的效率:
安全和 IT 分析师:实现和维护网络安全。
网络智能分析师:分析组织受到的威胁并生成见解,以帮助他们告知其他人哪些威胁是相关的。
安全运营中心 (SOC):获取上下文以评估威胁并将其与其他活动相关联,以确定最佳和最有效的响应。
计算机安全事件响应团队 (CSIRT):深入了解漏洞、如何利用这些漏洞,以及攻击者用来入侵系统的方法。
执行经理:了解哪些威胁与其组织相关,以便他们可以向 CEO 和董事会提出基于数据的预算建议。
威胁情报的类型
威胁情报可以分为四个类别。使用它们可帮助你确定谁需要接收哪种类型的信息:
战略
战略威胁情报一项概要分析,面向涉及整个业务的非技术利益干系人,例如公司高管、IT 管理层和董事会。需要站在长远的角度,在广泛背景下传达此类信息。这些受众必须管理总体风险,例如,总体威胁环境如何演变、业务决策如何引入新漏洞、高级技术如何帮助企业以更低的成本缓解威胁,或漏洞可能带来的财务和运营影响。
战术
战略威胁情报是指网络安全专家需要立即采取措施来缓解威胁的信息。它包含有关最新 TTP 趋势和 IOC 的技术信息,通常由 IT 服务经理、SOC 中心员工和架构师使用。使用这种类型的情报可做出有关安全控制措施的决策,并创建主动防御策略。此类信息总是在不断变化,可以通过自动化来帮助安全团队保持最大的灵活性。
运营
运营威胁情报是指有关特定威胁和市场活动的知识。它可为事件响应团队提供有关攻击者的身份、动机和方法的专门信息。网络威胁智能平台可自动收集数据,并在需要时翻译外语来源,从而使组织的安全专业人员能够更高效地接收此类情报。
技术
技术威胁情报与运营情报密切相关,是指攻击正在发生的标志(例如 IOC)。将威胁情报平台与 AI 配合使用可自动扫描这些类型的已知指标,这些指标可能包括网络钓鱼电子邮件内容、恶意 IP 地址或恶意软件的特定实现。SOC 和事件响应团队可以快速响应此信息,并防止对业务造成损害。
威胁情报的用例
部署网络威胁智能平台,以多种方式提高安全运营的效率。
-
管理警报
警报疲劳是 SOC 团队面临的严重问题。他们每天处理大量警报,而许多警报为误报。整理这些数据既繁重又费时,而且极度繁重的工作可能会导致安全团队成员错过重要的威胁。通过威胁情报平台缓解这些问题,该平台可帮助负担过重的分析师确定警报和事件的优先级。
-
加快事件响应速度
借助网络威胁智能工具,事件响应团队可以就如何以最快速、最完整的方式包含和修正威胁,然后使组织恢复到安全状态做出明智决策。
-
改善安全状况
依靠网络威胁智能平台,帮助你根据实际风险就安全投资做出短期和长期决策。可靠的威胁情报平台可帮助你创建风险模型,并向整个组织的利益干系人报告企业的独特漏洞。全面了解安全状况,帮助企业决定在何处投入时间和资源。
-
防止欺诈
使用威胁情报工具聚合来自全球犯罪社区和网站的数据。威胁情报提供了对暗网和粘贴网站的见解,犯罪分子在这些网站上出售大量被盗的用户名、密码和银行数据。良好的网络威胁智能平台将全天候监视这些源,并就最新动态向你发出实时警报。
查找合适的威胁情报平台
威胁情报解决方案可以通过提供有关威胁环境的相关见解来改善安全状况。选择具有以下特征的平台:
- 与现有系统集成,并提供多平台和多云支持,以确保保护整个 IT 资产。
- 使用自动化来提高安全团队收到的警报和建议的质量。
- 具有以易于理解的可视化格式呈现数据的工具,以便你可以与公司中的利益干系人分享和讨论安全状况。
Microsoft 威胁情报每天在独特的遥测技数据(包括其产品系列和持续更新的威胁环境地图)中包含超过 65 万亿个信号,可帮助你的企业抵御勒索软件等威胁。Microsoft Defender 威胁智能使用最新的 AI 和机器学习在需要更多上下文时为安全团队提供方向。
常见问题解答
-
威胁情报的一些例子包括攻击者标识符、TTP、常见 IOC、恶意 IP 地址以及已知和新兴网络威胁的许多其他指标。威胁情报软件可以收集和分析这些指标,并自动阻止攻击或提醒安全团队采取进一步操作。
-
网络威胁智能平台之所以有效,关键在于能提供全球威胁环境全貌的威胁数据馈送、能自动进行风险优先级排序的高级数据分析、能识别常见 IOC 的监视工具,以及能让安全团队迅速补救漏洞的自动生成的警报。
-
威胁情报是从大量有关新兴威胁或现有威胁的原始数据中收集的。通过扫描互联网和暗网,以获取有关恶意行为者及其战术的信息,以及指示已经发生入侵事件的内部 IOC,可以获得该结果。可信的威胁数据馈送共享攻击签名、不良 IP 地址和域名以及攻击者 TTP 等信息。威胁情报平台可以使用 AI 和机器学习来理解所有这些原始数据。
-
威胁情报平台分析来自 Internet 的数万亿个信号,并将其绘制成图,以告诉你哪些威胁对你的业务构成严重风险。其作用是揭露攻击者及其方法,向你展示威胁影响公司可能采用的各种方式,自动阻止整个攻击,识别指示主动入侵的常见 IOC,并在需要干预时建议要采取的操作。
-
选择这样一个威胁情报平台,该平台既会搜寻问题,又会自动建议增强安全状况所采取的措施。最好选择跨云和平台运行、与现有产品集成并具有易于使用的可视化工具的软件。
关注 Microsoft