本文虽然比较科普,但是对于刚开始了解威胁情报的企业来说,其中的方法和思维还是值得学习的。如果大家感兴趣,Sobug后续会寻找一些这方面做得不错的企业的实操案例,给大家带来更多干货。
自2014年开始,已经逐渐形成这样的共识:掌握威胁情报将使企业在保护信息安全方面占据决定性优势。利用威胁情报,精明的安全实践者可以缩短漏洞修复时间,明确海量告警的优先级。最重要的是,他们开始明白自己的企业正在面对什么样的黑客和威胁。正因此,企业安全专家们可以更加高效地保护企业业务不受影响。
信息安全早已不再停留于教科书上才出现的概念,而已经牵动着CXO们和董事会的神经。但是,将威胁情报整合到企业运营流程中仍然是一件极有挑战性的事情。由于情报的多样性,并非想象中可以随意上传到安全设备或者整合到后端系统那么简单。因此,如何运用情报并将其嵌入企业现有流程中就成为企业面临的最大挑战了。以下提供三个建议,企业不妨从这三招开始着手运用威胁情报。
复盘历史攻击,搞清楚3W:Who,What和Why。
无论是针对你们公司的攻击还是针对同行业其他友商的攻击,这些历史攻击都将成为提炼及改良安全策略的宝贵资源。搞清楚3W:谁(Who),为什么(Why),用什么手段(What)攻击,才能有针对性的构建有效的防御体系。举个例子,对于能源行业来说,查明黑客攻击背后的地缘政治动机可以帮助企业了解何种信息是黑客最喜欢利用的,以便建立更完善的数据保护措施。其他比如电商和医疗行业(近期国外信息泄露集中于这两个行业)也是同理。
思考如何将情报信息整合到企业的安全防御体系中。
对于大多数企业来说,其实目前并不缺诸如利用方法等信息,但企业却并没有将新信息的收集和分析整合到既有的安全流程中。换句话说,知道情报在哪却不收集,或者仅收集情报却不作分析、束之高阁,在当前愈演愈烈的威胁形势下都是远远不够的。企业需要设计长期的战略,以持续基于威胁情报复盘并更新自己的安全防御体系。
评估最容易受攻击影响的重要业务资产。
不幸的是,很多企业甚至不知道他们存储或处理重要业务信息的设备有哪些,这也使得这些设备被攻击的可能性大大增加。毕竟,如果你都不清楚需要保护什么,如何能形成有针对性的防御策略呢。因此,如果你的企业从未评估过有哪些重要业务资产,我建议就从这一步开始着手吧。并且建议是立即开始评估,而不是等到攻击已发生,你才后知后觉地发现企业受到的损害已无法修复了。
文章来源Sobug众测平台
本文参考: http://blog.crowdstrike.com/3-tips-for-operationalizing-cyber-intelligence/
原作者:Adam Meyers