|
使威胁情报具有可操作性需要的不仅仅是自动化;它还需要背景化和优先化。
多年来,人们逐渐认识到威胁情报的重要性。但随着数字化转型的加速和向混合工作模式的转变扩大了攻击面,而地缘政治事件增加了防御者保护关键基础设施和敏感数据的风险,它已成为焦点。政府领导人指出威胁情报共享和最佳实践是帮助加强网络安全和减轻网络战影响的关键组成部分。 最近的调查证实了组织对威胁情报的重视,但也揭示了使威胁情报具有可操作性的挑战。根据与 1,350 名业务和 IT 领导者的讨论,Mandiant 的全球威胁情报展望报告发现,虽然几乎所有 (96%) 的受访者都对其威胁情报的质量感到满意,但 47% 的受访者难以在整个安全领域应用威胁情报组织,70% 的受访者表示至少大部分时间他们在没有对手洞察力的情况下做出决策。 自动化有助于使威胁情报具有可操作性。但是,使威胁情报具有可操作性需要的不仅仅是自动化;它还需要情境化和优先化,这样您就可以在正确的时间自动化并对正确的数据采取行动。为了更好地理解这一点,让我们更深入地了解 CRA 研究的受访者将其作为威胁情报的主要用例:漏洞管理。 到 2022 年,常见漏洞和披露(CVE)的数量攀升至 25,227。但是,在任何给定时间,只有一小部分现有漏洞被积极利用或可利用。对于任何给定的组织,这些漏洞中只有一小部分被可能针对该组织的威胁行为者和活动所利用。那么,您如何知道您的组织应该关注什么? 想象一个维恩图,其中漏洞管理是一个圆圈,来自内部和外部来源的上下文情报是第二个圆圈。重叠区域是您的风险区域,您可以根据该上下文确定漏洞的优先级。从逻辑上讲,您还可以使用上下文来确定缓解的优先级,这样您就可以优化漏洞管理工作流程并为您的组织实现最佳结果。 在这种情况下,上下文来自以下信息:易受攻击的资产数量、它们对组织的重要性、它们是否受到保护、漏洞是否被积极利用、威胁参与者是否针对您的特定行业或地区,以及指标是否在您的环境中发现了妥协 (IoC)。这些元素可帮助您了解漏洞在您的环境中被利用的可能性。有关 CVE、指标、对手及其方法的外部数据可帮助您了解漏洞的后果。当您将内部环境与外部威胁情报聚合并关联起来时,您可以根据您设置的参数自动确定漏洞的优先级,以便组织可以在正确的时间采取正确的行动。 例如,可能会确定需要立即解决某个漏洞,因为在环境中发现了 IoC,并且已知该漏洞正被针对您的特定行业或地区的威胁行为者积极利用。或者可能会发现该漏洞与您的行业无关,因此优先级较低,但仍然可以决定根据风险状况进行修补。或者可能会发现该漏洞没有被积极利用,因此现在修补它或启动补偿控制没有意义,尽管您可能会继续观察它。 在没有上下文的情况下,您可能正在修补未被积极利用、优先级较低的漏洞,或者更糟糕的是,修补对操作产生负面影响的漏洞。威胁情报只能通过上下文和自动化来操作。结合使用时,您可以应用威胁情报为您的组织取得最佳成果。在这种情况下,脆弱资产列表的缩小和更强大的安全态势会更快。
|
|
|
