网络安全 频道

停止在无效的威胁情报上浪费钱,需要避免的五大误区

  强大的网络威胁情报(CTI)能力可以在多个不同领域将网络安全计划提升至新的高度。当组织选择与其技术环境和业务背景相关的优质威胁情报来源时,这些外部来源不仅能加快威胁检测速度,还能帮助领导者更好地了解风险敞口,并优先安排未来的安全投资。

  首席信息安全官(CISO)和网络安全高管们日益将他们的项目投资目标寄托在CTI的承诺上。近期研究表明,五分之三的组织将其整体网络安全预算的至少11%至30%用于威胁情报能力。这意味着80%的网络安全团队每年在外部供应商的威胁情报产品上花费25万美元或更多。

  但这些钱有多少花得值呢?尽管大多数分析师仍预测2025年的安全支出将增加,但有迹象表明,CISO们将在明年被要求对其支出进行合理解释并提高支出效率。根据IANS最近的调查,2024年,超过三分之一的CISO面临预算持平或下降的情况,与2022年的招聘模式相比,员工增长减少了一半。CTI在威胁检测、事件响应、漏洞管理和更广泛的风险管理中能发挥巨大价值,但也可能变成一个无底洞。威胁情报使用方式的分散性使得很难对CTI实现财务效率和问责制。组织不仅可能因糟糕的情报和不足的分析而浪费资源,还可能因未能有效利用优质情报来改变安全结果而浪费资源。

  追踪CTI的投资回报率并非易事,但许多威胁情报专家表示,CISO们可以通过一些常见方法来避免最可能的情报支出浪费源。以下是在努力提高项目效率的过程中需要避免的五大误区。

  未建立风险管理计划为了真正从全面的CTI计划中获益,CISO们需要以健全的风险管理计划及其所需的基础设施为基础,来适当分析和确定其获取的信息流的背景。“CTI必须真正归入你的风险管理之下,如果你没有风险管理计划,你需要将其识别出来(作为优先事项),”Qualys威胁研究小组的网络威胁主管Ken Dunham说。“这归根结底是:你试图保护的核心事物是什么?你的关键资产或高价值资产在哪里?”

  如果没有风险管理来确定这些优先级,组织将无法为情报收集设定适当的要求,以收集与其最宝贵资产相关的相关来源。

  此外,当CTI用于对组织基础设施内发生的活动的安全分析进行背景分析时,其价值最大。这意味着组织需要使其分析程序和数据科学及数据管理整齐划一,以便真正从他们引入的外部情报中榨取价值。“从战略上讲,在降低总拥有成本(TCO)的同时实现安全价值和价值实现时间,同时与所有重要的内部数据源和工具集成,是一个复杂的方程,”Ontinue的威胁响应负责人Balazs Greksza解释道。“安全不是大数据问题。事实上,它是一个‘在正确的时间提供正确的信息和情报’的问题,以便得出正确的结论。”这意味着CISO们需要仔细考虑内部数据和外部情报在何处相互结合的各种用例。Greksza说,安全数据湖与XDR、SIEM或合规性监控解决方案的用例大不相同。这意味着要为所有情报和分析数据如何推动更明智的决策制定明确的目标和要求。他说,CISO们可能需要让数据平台工程师加入,为安全运营中心(SOC)及其以外的领域制定全面的数据战略,以此奠定基础。

  依赖低质量情报糟糕的情报往往比没有情报更糟糕,因为分析师需要花费大量时间来验证和确定低质量信息流的背景。更糟糕的是,如果这项工作没有做好,低质量的数据甚至可能在运营或战略层面导致错误的决策。安全领导者应该让他们的情报团队根据一些关键属性定期审查其情报来源的有用性。许多情报专业人员为此使用的典型缩写是CART,代表完整性、准确性、相关性和时效性。

  关键启动公司(Critical Start)网络威胁研究高级经理考利·根瑟(Callie Guenther)表示,完整性意味着每一条情报都能全面展现威胁情况,包括行为主体、方法和受影响系统。同时,准确性或许是决定信息来源价值的最关键因素之一。“信息来源的可信度和可靠性至关重要,”她说,“不准确的情报会导致误报、资源浪费,以及可能面临未解决的威胁。”

  相关性意味着情报与组织所属行业、技术栈和地理位置相关。而时效性则是确保情报足够新,能够影响组织的行动。显然,随着威胁研究的展开,情报来源往往需要在时效性和准确性之间取得平衡。

  最后,根瑟在原有基础上增加了另一个“A”,形成了CAART框架:可行动性(Actionability)。“情报应足够详细和具体,以指导安全行动,如调整安全设备、更新政策或修补漏洞,”她说。

  忽视需求收集在评估潜在情报来源的质量之前,首席信息安全官(CISO)更需确保团队选择的情报来源能够满足其安全计划和业务需求。安全团队在威胁情报计划中常犯的一个错误是,直接跳过确定谁需要哪些类型的情报来做出明智安全决策的过程。

  Cybersixgill安全研究主管多夫·勒纳(Dov Lerner)表示:“组织的威胁情报(CTI)接收能力有多强,其效果就有多大。为了建立有效的CTI计划,组织各级必须向情报团队提出要求,并乐于接受情报,以指导流程和决策。”

  需求收集阶段是CTI生命周期的第一步,但这一步常被忽略,或者仅限于有特定技术需求的SOC分析师。根瑟同意勒纳的观点,认为情报团队应从整个企业的不同类型的情报使用者那里收集需求。“组织若未能明确、可行和优先排序情报需求,就会导致数据无关紧要或数量过多,”她说。

  勒纳认为,为了充分利用CTI投资,CTI必须具备足够的带宽和组织联系,以便与安全领域内外的各种利益相关者互动。

  一些组织可能还想考虑建立一个利益相关者请求新情报的程序。NCC集团全球网络威胁情报主管马特·赫尔(Matt Hull)表示,他的公司通过这种方式使需求收集更加可重复和一致。NCC有一个系统,几乎就像情报请求的票务系统。“我们有所谓的RFI流程——情报请求,这基本上是一个机制,它向利益相关者传达(对我们团队来说)‘你想回答什么问题?’”他说,“然后,它会进行分类,并传递给相关团队。”

  过度关注战术威胁情报根瑟发现,组织在启动CTI计划时最常犯的错误之一是过度强调战术情报。“虽然战术情报至关重要,但仅关注妥协指标(IoC),而不考虑战略或运营背景,会导致安全态势从主动变为被动,”她说。赫尔和丹纳姆(Dunham)都坚信,最强的CTI团队能够在三个主要领域收集和运用情报:战术情报、运营情报和战略情报。战术情报遵循传统的IoC模式,以及来自恶意软件分析和其他监控的非常具体的技术信息,这些信息可能增强威胁检测能力。运营情报上升到一个层次,涉及战术、技术和程序(TTP)方面的行为情报。战略情报则是更宏观的信息,涵盖了地缘政治、行业和业务背景的情境。在NCC,赫尔有三个不同的团队分别关注这三个领域,以确保计划能够适当地覆盖每个领域。

  战略情报通常是组织最容易忽视的部分,但往往能带来最大的经济价值,因为战略情报可以根据威胁环境中的实际情况帮助确定支出优先级。此外,战略情报还可以帮助CISO从长远角度证明其行动和投资回报率(ROI)。

  “很难理解CTI能力的投资回报率是多少。将情报纳入风险管理流程非常有用,因为你可以将威胁情报中的一些投入量化到风险管理工作中,”赫尔说,并解释说,这可以让CISO走上一条更复杂的网络风险量化分析之路。

  轻视传播即使CTI在收集利益相关者所要求的正确类型的高质量情报方面做得非常出色,但如果这些情报没有以对他们有意义的形式适当地传达给需要的人,那么所有这些工作都将付诸东流。

  勒纳说:“通常会出现困难的一个领域是传播阶段,即CTI分析师处理和向利益相关者提供成品情报的阶段。”

  他解释说,许多情报团队没有根据受众恰当地调整信息。例如,如果战略情报面向高管团队,却充斥着缩写和技术数据,那么它将没有太大价值。同样,如果战术情报以非结构化报告的形式呈现,SOC分析师无法轻松使用,那么它也将无法使用。

  赫尔说,确保传播具有针对性和目的性的最 佳方法之一是在需求阶段敲定细节。“当你设定这些要求时,你就设定了传播发生的频率和传播发生的机制,”他解释说,重要的是从一开始就确定如何让相关利益相关者最容易地获取和共享情报。

  显然,在网络安全计划中最大化CTI价值没有捷径可走,但能够避免这五个错误的CISO更有可能从他们的情报中获得最大收益。

0
相关文章