《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 用20%的預(yù)算實(shí)現(xiàn)80%的威脅情報(bào)目標(biāo)

用20%的預(yù)算實(shí)現(xiàn)80%的威脅情報(bào)目標(biāo)

2021-10-20
來源:安全牛
關(guān)鍵詞: 威脅情報(bào)

  隨著全球經(jīng)濟(jì)的波動(dòng)和不確定性增加,,網(wǎng)絡(luò)安全預(yù)算削減無處不在。根據(jù)研究機(jī)構(gòu)SANS最近發(fā)布的《不確定時(shí)期的威脅搜尋》報(bào)告,,11%的企業(yè)組織威脅搜尋和情報(bào)計(jì)劃受到疫情的影響,,12%的企業(yè)組織完全停止了他們的威脅搜尋計(jì)劃。

  隨著勒索軟件攻擊的增加以及商業(yè)電子郵件泄露(BEC)詐騙的日益猖獗,,安全預(yù)算縮減對(duì)于企業(yè)安全團(tuán)隊(duì)來說無異于雪上加霜,。

  對(duì)于缺錢少人的安全團(tuán)隊(duì)來說,“巧婦難為無米之炊”并不是放棄威脅情報(bào)工作的理由,,因?yàn)橥{情報(bào)正在成為幾乎所有網(wǎng)絡(luò)安全堆棧技術(shù)的關(guān)鍵動(dòng)力。以下,,我們整理了業(yè)界專家的一系列建議,幫助那些缺少安全預(yù)算的企業(yè)組織,,以20%的預(yù)算投入達(dá)成80%的威脅情報(bào)工作,。

  用好開源情報(bào)資源

  目前,,安全廠商的產(chǎn)品能力和開源社區(qū)項(xiàng)目的成熟度都在增長(zhǎng),。如果將免費(fèi)和開放的開源技術(shù)與分析師或研究人員的專業(yè)能力相結(jié)合,企業(yè)組織威脅情報(bào)團(tuán)隊(duì)就有了低成本的可行替代方案,。

  利用開源資源必須強(qiáng)調(diào)可行,因?yàn)橛性S多免費(fèi)和開源工具不那么容易使用或集成度較差,,可能需要團(tuán)隊(duì)中有更熟練的成員專門開發(fā)一些“運(yùn)營(yíng)膠水”,。考慮到這一點(diǎn),,如果企業(yè)組織需要在有限預(yù)算下開展威脅情報(bào)工作,,可遵守以下幾條準(zhǔn)則:

  1、將資源短缺的問題與領(lǐng)導(dǎo)層充分說明并達(dá)成共識(shí),。確保高層領(lǐng)導(dǎo)意識(shí)到企業(yè)工具會(huì)帶來更高效的分析,,并且需要投入人力來彌補(bǔ)某些軟件即服務(wù) (SaaS) 安全產(chǎn)品和惡意軟件沙箱的功能缺陷,。

  2、制定和落實(shí)更精細(xì)的安全工作計(jì)劃,。圍繞威脅情報(bào)生命周期檢查企業(yè)組織的目標(biāo),,并確定實(shí)現(xiàn)目標(biāo)所需的工具和數(shù)據(jù)。

  3,、充分利用企業(yè)內(nèi)部資源,,獲取威脅情報(bào)數(shù)據(jù)。如果企業(yè)沒有外部商業(yè)情報(bào)源,,可以從自己的端點(diǎn)獲取威脅情報(bào)數(shù)據(jù),,并反饋到在內(nèi)部運(yùn)行的威脅情報(bào)分析工具中,。

  優(yōu)化安全團(tuán)隊(duì)的能力構(gòu)成

  企業(yè)組織威脅情報(bào)團(tuán)隊(duì)通常由不同背景的人組成,。團(tuán)隊(duì)所需的技能包括網(wǎng)絡(luò)基礎(chǔ)知識(shí)、記者的研究和寫作方法,、程序員的自動(dòng)化技能以及惡意軟件分析師的逆向工程技能等,。在企業(yè)組織威脅情報(bào)團(tuán)隊(duì)中很少有人能夠完成上述所有工作,,因此在具體分工時(shí),,要考慮每個(gè)團(tuán)隊(duì)成員的優(yōu)勢(shì)。

  在所有工作中,,最難的是運(yùn)營(yíng)企業(yè)組織知識(shí)管理系統(tǒng),,即威脅情報(bào)平臺(tái) (TIP)。企業(yè)組織在一定程度上可以擺脫電子表格,,但最終還是會(huì)有太多數(shù)據(jù)需要管理并需要專用工具,。例如,在使用像MISP,、Hive或OpenCTI這類包含很多活動(dòng)組件的開源工具時(shí),,企業(yè)組織需要一位具有基礎(chǔ)設(shè)施管理和運(yùn)營(yíng)經(jīng)驗(yàn)的團(tuán)隊(duì)成員。

  如果團(tuán)隊(duì)中沒有擁有這項(xiàng)技能的人,,企業(yè)可以加入社區(qū)MISP實(shí)例或其他免費(fèi)的開放威脅共享平臺(tái),,這些平臺(tái)往往提供一些關(guān)鍵的內(nèi)容富化功能。對(duì)于想要獲得編程和輕量級(jí)基礎(chǔ)設(shè)施體驗(yàn)的人來說,,開源工具是一個(gè)不錯(cuò)的選擇,,因?yàn)樗鼈兿鄬?duì)容易設(shè)置,較難的部分是如何把富化內(nèi)容/工具關(guān)聯(lián)到企業(yè)的TIP平臺(tái)中,,這就需要找到合適的人,,利用專業(yè)技能,使用合適的工具來完成這項(xiàng)工作,。

  目前,,有多種方法可以做到這一點(diǎn),,具體取決于工具,像IntelOwl和Cortex這樣的富化工具都可以將功能自動(dòng)提供給多個(gè)開源TIP,。不過,,在部署這類比較重要的富化工具時(shí),需要注意以下事項(xiàng):

  1,、企業(yè)需要騰出更多人手尋找威脅,,而管理基礎(chǔ)設(shè)施也很快就會(huì)成為一項(xiàng)全職工作,所以請(qǐng)嘗試將工具所有權(quán)授予一位分析師,,并在對(duì)該工具有一定了解的情況下保留兩個(gè)備份,。

  2、在開發(fā)不屬于這些開源項(xiàng)目領(lǐng)域的其他粘合任務(wù)時(shí),,請(qǐng)?jiān)趦?nèi)部編寫之前嘗試準(zhǔn)備預(yù)開發(fā)解決方案,。通常,企業(yè)會(huì)找到一個(gè)足夠好的解決方案,,使其快速配置工作流程并節(jié)省工程時(shí)間,。

  3、企業(yè)組織威脅情報(bào)團(tuán)隊(duì)可以通過基礎(chǔ)設(shè)施管理工具(如Terraform)和配置管理工具(如Ansible)等實(shí)現(xiàn)程序編寫部署的自動(dòng)化,。這樣,,企業(yè)組織就有了標(biāo)準(zhǔn)步驟來維護(hù)基礎(chǔ)設(shè)施。

  4,、回歸經(jīng)典,。自1970年以來,人們一直在通過命令行快速解析數(shù)據(jù),,使用小型的一次性C程序可以在幾分鐘內(nèi)解析TB級(jí)數(shù)據(jù),;許多用來提取入侵指標(biāo)、解析日志和munges數(shù)據(jù)的花哨工具都可以用“awk/sed”,、“sort”和“uniq”工作流代替,;熟練的UNIX管理員知道如何加快數(shù)據(jù)處理速度等。

  總體而言,,企業(yè)組織威脅情報(bào)團(tuán)隊(duì)可以通過許多不同的開源工具,,獲得接近企業(yè)級(jí)產(chǎn)品的服務(wù)。雖然這項(xiàng)工作會(huì)花費(fèi)一定的人力和時(shí)間,,尤其是會(huì)占用專業(yè)分析人員的時(shí)間,,但在預(yù)算有限的情況下,這是保持威脅情報(bào)團(tuán)隊(duì)效能的必要成本,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。