网络威胁情报作为事件响应的主动扩展

网络威胁情报(CTI)是最新的技术之一 信息安全行业的流行语. As a 这是网络安全工具箱中的新资源 还没有达到成熟，但它被使用了吗 政府、金融服务、银行、保险、 零售公司，电子商务，医疗保健， 制造业、电信业和能源业 澳门赌场官方下载.¹ 威胁搜寻是一项活动 与识别威胁有关 组织及其关键数字资产和 获得对抗它们的智慧.

组织使用CTI来了解威胁 已经，将要或正在针对 组织. 它的功能是作为一个主动的扩展 的输出到事件响应 现有网络安全监控工具. The 从CTI获取的信息用于准备 预防和识别网络安全威胁 是否试图利用有价值的数据. CTI 也可以被描述为基于证据的吗 了解对手的动机和意图， 能力、启用环境和操作. CTI可以专注于单个网络安全事件 或者一系列事件或趋势，它提供 向防守方提供咨询和反应信息.

有许多类型的网络威胁可以 引起对组织的关注. 收集和 分析信息来源的 威胁有助于打击任何先进的持久性 威胁(apt)、分布式拒绝服务(DDoS) 攻击和web应用程序攻击(WAA 可能发生.

应对网络安全的可用资源 威胁数量众多，涵盖范围广泛 选项，包括威胁建模，^{2, 3, 4, 5, 6} 软件工具,^7, 8, 9 开源威胁信息 feeds^{10, 11, 12, 13} 供应商服务.¹⁴ 行业调查,^15, 16 专业协会^17, 18 and CTI指南^{19, 20, 21, 22} 同时提供信息和 应对威胁的指导.

CTI的目标和目的包括减少 暴露于内部和外部的威胁，学习 攻击面，确定感染后的停留时间 探测(i).e.，平均检测时间[MTTD]); 枚举遏制/传播的时间 预防，并估计违规数量 和感染. 实现这些目标可以让你保持活力 组织在面对 threat. 确定妥协的指标(e.g., 已知的攻击, 事件(事件)和攻击者的数字足迹也是网络安全的重要目标 用来保护自己的组织. 确定威胁行为者的行为和对手 策略、动机、基础设施、方法等等 程序可以提供战略和战术 组织可以使用的信息 打击他们.

这些CTI的目标很难实现 实现由于数据和固有的挑战 信息收集、技术、分析、 信息共享、管理、沟通、 and staffing; however, it is important to understand 他们，并最终击败他们，以减少 执行和所需的工作量 维护CTI程序.

数据和信息的挑战 收集

CTI最重要的组成部分是数据. 关注的关键领域是数据质量 威胁数据的相关性和及时性 威胁数据，以及获得的情报. 收集数据的挑战有很多 表格，最重要的是数据质量， 聚合、验证和规范化.

数据质量是指数据的清洁度和质量 数据，可以自动改进 识别和移除的过期指示器 妥协(ioc)，忽略陈旧的数据和 删除不可靠的原始数据. 其他因素 影响数据质量的因素包括:

• CTI供应商使用过时的检测 机制，如基于哈希的检测
• 对某些行业的威胁适用性
• 数据覆盖的广泛性(一).e., Do the 数据包含有用信息?)
• 攻击者为误导而提交的虚假威胁报告 CTI users

数据质量可能受到组织的限制 预防性或保护性措施的实施 禁止泄露数据的措施 涉及机密或敏感事件的.

由于数据的多样性，数据聚合是一个挑战 情报来源，不同的传递机制 (e.g.(格式、软件、工具)和数据复制. 因为威胁情报来源是 它们多种多样，难以简化和转换 变成可用的格式. 海量的数据 可聚合、存储、高效 查询和某些数据可能存在的事实 加密是其他因素. 基于位置的数据 (e.g.(国家、地区)可能不相关 应该被排除在外.

数据验证 包括消除 假阳性， 删除 NONRELEVANT威胁 情报和数据 增加对 分析和 报告.

广泛的收集方法(i.e., 自动收集，澳门赌场官方下载来源， 专业情报收集)也使 聚合是个挑战. 数据传递机制 包括基于web的协议，如超文本 传输协议(HTTP)和文件传输协议 (FTP)，这是有用的信息来源， 但并不是所有的CTI系统都是为他们设计的. 这两个数据源都需要提供更多信息 格式或接收软件需要能够 有意地接受它.

数据验证包括消除错误 积极的，移除不相关的威胁情报 以及用于分析和报告的数据增强. 数据隐私和法律问题也可能受到影响 可用数据的可用性和使用情况.

标准化和相关性是另一个挑战 数据格式不一致. 如果一组 数据以非结构化的PDF格式交付，而不是另一种格式 采用结构化威胁信息的形式 表达(STIX)，识别真正的威胁可以 困难. 这一挑战变得更加复杂 收集和比较来自内部的信息 以及外部数据源. 也有新的 要考虑的特定于供应商的数据结构格式.

关于数据和信息的建议 收集包括收集最有用的东西 情报，让提供者准备情报 转换成可用的格式和每种类型的详细级别 的使用，并避免浪费时间和金钱 收集和传播琐碎的数据. 评估 与数据源相关的数据源(特定于 行业)，确保数据源的透明度(以 防止智力中毒)，并建立 与要使用的唯一数据相关的策略; 按来源和目标划分的数据频率 可测量的结果也很重要.

技术挑战

与CTI相关的各种技术 就工具、机器提供挑战 学习(ML)和分析，集成和 互操作性、标准、自动化和攻击 surfaces. 下面逐一解释 挑战简要:

• Tools-很多网络安全专业人士都是 使用过时的安全信息和 事件管理(SIEM)工具和安全性 运营中心(SOC)基础设施则不是 适合于简单的数据采集. 因此，a 对工具的捕捉能力缺乏信心 适用的威胁需要改变方法 和方法论.
• 机器学习和分析-翻译隐性知识 在未来的几年里，来自ML的挑战将是一个巨大的挑战. 遏制攻击和根除 漏洞不断地变得更加困难和 增加需要处理的数据量. In 此外，很难调整ML以适应新的战术 以及利用弱点的技术 当前的安全防御.
• 集成和互操作性集成的 恶意软件传感器可以输出和报告 由于软件接口不兼容，操作困难 协议和格式.
• 标准-协议和标准化 相关数据产生的来源有很多 不到位，以帮助在执行一个 组织的CTI计划. 已经有了 为创建CTI标准作出了一些努力 欧盟网络安全机构(ENISA)²³ 但它们只涉及某些方面 比如信息共享.
• 自动化-缺乏自动化 技术识别目标区域 统一和易于理解的报告 对CTI经理来说，如何提升高管层是一个挑战.
• 攻击表面-攻击面已经 从服务器、工作站和笔记本电脑扩展 现在还包括移动设备.g.，手机; 平板电脑)，云端托管的数据，互联网 物联网(IoT)和员工信息发布 社交网络. 因此，更好的终点 需要检测和响应解决方案 帮助识别威胁.

这些与ict相关的技术和标准需要 要兼容才能集成来自的数据 网络数据收集工具. 这些工具 包括端点检测和响应(EDR)， SIEM， 下一代防火墙(NGFW)，入侵防御 系统(IPS)，防病毒(AV)， web应用防火墙， 安全web网关(SWG)，网络IDS/网络 检测和响应(NDR)，反网络钓鱼或其他 信息安全软件，漏洞 管理和文件活动监控.

一个建议是提高……的能力 通过供应商整合威胁情报数据 添加新的接口功能(i.e.，扩展可用 导入和导出文件格式)到他们的产品 简化互操作性和报告.

另一项建议包括跟上 分段网络和设备的技术 类型，如扫描仪，桌面，系统，物联网 设备、移动设备、打印机/复印机等 攻击表面. 实现专用威胁 智能平台的重点是CTI程序和 使实现CTI更容易.

CTI澳门赌场官方下载可以使用标准 组织，如ENISA和美国国立大学 标准与技术研究所(NIST) 标准化和共享ML搜索和关联 并建立一组一致同意的以cti为中心的数据格式和逻辑来支持 工具和数据源之间的互操作性.

数据分析的挑战

与数据分析相关的挑战 包括以下内容:

• 侦测高级威胁(隐藏的、未知的、 新兴市场)，这暴露了可能的目标
• 识别可能成为目标的新对手 一个行业
• 寻找适用的和可操作的 信息
• 克服因体积大而产生的疲劳 很多平台
• 没有寻找威胁的工具 调查

通过识别和监测提高认识 适用的威胁参与者可以帮助组织 应对这些挑战. 准备行动 获得正确的工具和数据，以及 培训CTI员工使用新工具，添加饲料和 现有的组织机制，也是 加入CTI程序的良好实践 功能和用途. 培训事件 响应人员对CTI技术，工具，资源 而方法论也有助于加强 组织的CTI计划.

了解恶意软件包(例如 勒索软件)的行为利用漏洞帮助 创建一个威胁搜索包来查找该软件 识别它的行为. 分享狩猎 包是另一种对抗自动化的方法 威胁的演员.

与信息相关的挑战 Sharing

供应商之间的信息共享和其他 由于担心，提供者并不总是有效的 关于潜在的数据滥用，隐私问题 公司数据，可能的数据泄露，公司 责任，对接收方缺乏信任，欧盟将军 数据保护条例(GDPR)暴露; 缺乏威胁情报方面的专业知识而且缺乏 有分享的价值.

质量供应商信息可能是另一个领域 关注是因为提供者可能不是 信息来源透明. 数据由 生产者、销售者或组织不得作为 完整的，适用的或包含的需要，和 供应商报告和提要可能是重点 特定的目标受众，如政府， 银行和金融，网络安全服务 供应商或技术.

高质量的供应商 信息可以是 另一个值得关注的领域 因为提供商可能 不透明 关于他们的来源.

此外，来自共享组的数据可能不会 correlated; data may be just a simple feed from a 专用数据采集工具. 也可能是 智力显著差异 估计. 报告和意见可能是 不新鲜，只会增加体积， 分析的混乱和复杂. The 关于内部互联网协议共享的信息 (IP)来源可能对其他用户或用户没有价值 澳门赌场官方下载. 更糟糕的是，数据共享 各方可能心怀恶意，提供虚假数据; 这可能会毒害CTI澳门赌场官方下载数据.

改进信息共享的建议 包括审查共享组的成员之前 加入这个团体，实施某种 成员访问的多因素身份验证(MFA); 改进所提供数据的分类 (e.g.(目标群体、事件或观察日期); 通过多种方式增加产品互操作性 下载格式并监视/验证 提交供分享的资料.

管理挑战

管理层面临的最大挑战可能是 分为战略、操作和技术. 战略挑战包括没有明确的优先事项 对于投资和高管的不理解 技术问题. 操作方面的挑战包括 重建攻击向量耗时 识别损害的困难，如果有的话 是否有其他违规行为?. 技术挑战包括 验证源信息，防止错误 positives; prioritizing software patches, replacements and upgrades; and managing the volume of alerts 调查.

其他管理挑战包括缺乏 预算，部门间缺乏合作， 根据需求调整威胁 组织和组织的基础设施， 和不充分的(.e.，迟到，无关或不 可操作的)战略和运营报告. 幸运的是，我们可以采取一些措施 帮助解决这些管理挑战:

• 创建涵盖威胁搜索和攻击者调查的预算
• 让管理层了解这个数字 和类型的攻击(这将有助于未来 预算请求)
• 按类型组织信息以便于阅读 处理(e.g.信用卡和金融账户 资料、个人资料、知识产权、 机密的商业信息、凭证和 IT系统(信息、操作系统)
• 小心地获取威胁情报 调查什么是可用的和 类似机构推荐
• 进行分析以理解问题 对手的动机，基础设施(如果) 可能的)和攻击方法. 信息 共享和分析中心/组织 (isac / isao)可以提供帮助.

两种类型的供应商值得仔细研究 安全产品和安全服务 澳门赌场官方下载. 安防产品澳门赌场官方下载 设计他们的解决方案，只支持他们的产品 并且可能无法优化其他组织的安全性 体系结构或程序. 安全服务 澳门赌场官方下载可能有一个区域的焦点，而CTI 可能需要收集和评估全球 basis. 如果是这种情况，则需要多个源 待获取.

人员配备方面的挑战可以通过建立一个威胁搜寻团队来克服, 使cti成为soc的优先事项，并以威胁狩猎团队的目的培训soc员工.

沟通的挑战

组织间沟通 利益相关者是另一个挑战. 安全 运营中心(SOC)和事件响应(IR) 团队想要新出现的情报警报 威胁和对手一出现 信息是可用的，所以他们可以做出反应 立即到零日和其他类型的攻击. IR和法医小组需要全面 尽快分析恶意软件和网络攻击 详情可在此查阅. 首席资讯保安 官员(ciso)和IT经理需要总结 有关恶意软件和攻击的信息，统计数据 趋势数据，每周或每月报告. 执行经理需要季度性的、高层次的 与业务问题和即时相关的摘要 对违规和安全问题的评估 尤其是在面向组织的报告中 出现在媒体上. 及时准确 信息可以帮助提供问题的答案 由首席执行官(CEO)、成员组成 董事会和媒体.

为了尽量减少混乱，沟通应该是 简洁(e.g.一页或几页的备忘录 幻灯片)，不要使用专业术语和行话，解释 业务条款方面的问题(e.g.直接和间接 成本以及对业务和声誉的影响); 并包括一个建议的行动方案.

建议开发内部分析 管理报告并提供可操作性 情报. 理想情况下，信息应该被优先考虑， 显示响应时间，总结结果和 呈现组织的威胁态势.

此外，对于组织来说，这是一个很好的实践 参与ISAC/ISAO或其他行业分享 组织来帮助理解威胁，他们的 适用性和可用信息.

人力资源的挑战

有两个主要的CTI人员配置挑战，由于 增加的复杂性和分析量 完成的工作. 第一种是拥有不足 接受过CTI工具和资源培训的员工 执行威胁分析(i.e.(威胁狩猎) 有效利用CTI. 正式的CTI培训可以 从SANS等组织获取 研究所,²⁴ ENISA²⁵ 以及欧共体理事会.²⁶

第二个挑战是保持员工的积极性 执行CTI的数据收集和处理工作 分析，运行工具，管理风险 缓解、报告活动和建议 管理. 这些技能是必需的 补充事件响应和取证 员工技能组合.

因为它不是完全的 成熟和进攻 表面在膨胀， 有很多 需要面对的挑战 被称呼和 解决方案 实现.

人员配备问题可以通过以下方式解决 建立一个威胁搜寻小组，让CTI成为 优先考虑SOC和培训SOC员工 这就是威胁搜寻小组的目的. 这也是 有助于对安全评估人员进行CTI培训 和潜在的弱点，因为它的艾滋病 评估小组在确定是否CTI程序 是当前有效的. 

结论

CTI的目的是利用当前的网络安全 具有附加资源的监视工具，例如 供应商数据馈送以识别最严重的威胁 适用于组织. 因为CTI不完全 成熟了，攻击面在扩大 是否有许多挑战需要解决 要实现的解决方案. 随着CTI的发展，人工智能可能 用来自动化一些转换， 相关性，数据丰富，预测和 CTI的报告方面. 一项全球性的努力 需要协调一致的方法来对付 许多威胁和威胁行为者似乎是 不断增加. 这些建议 讨论可以增强威胁管理 程序和CTI行业一般.

CTI的另一个重要部分是报告. The 最好的情报报告发生在提供者 监控软件的变化， 服务和资源，以及网络基础设施是 监视可能有助于或抑制a的修改 CTI程序. 供应商不想提供不好的， 不完整，陈旧或错误的情报，但是 警惕是关键.

要了解有关网络威胁情报的更多信息，请观看Mattsson在本文中讨论他的文章 视频面试.

Endnotes

¹ 网络安全业内人士, 2020年威胁搜寻 Report，美国，2020; http://www.cybersecurity-insiders.com/portfolio/2020-threat-hunting-report-download/
² Gumbley J.; “A Guide to Threat Modelling for Developers,” martinFowler.2020年5月28日 http://martinfowler.com/articles/agile-threat-modelling.html
³ 舍甫琴科,N.; T. A. Chick; P. O’Riordan; T. P. Scanlon; C. Woody; 威胁建模:可用方法综述, 卡耐基梅隆大学, 软件工程学会, 匹兹堡, 宾西法尼亚, USA, 2018年7月, http://resources.sei.cmu.edu/asset_files/WhitePaper/2018_019_001_524597.pdf
⁴ 冈萨雷斯,C.; “Six Threat Modeling Methodologies: Prioritize and Mitigate Threats,” Exabeam, 6 July 2020, http://www.exabeam.com/信息-security/threat-modeling
⁵ 舍甫琴科,N.; “Threat Modeling: 12 Available Methods.卡内基梅隆大学软件工程学院, 匹兹堡, 宾西法尼亚, USA, 2018年12月3日, http://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/
⁶ Op cit 舍甫琴科，奇克，奥里奥登，斯坎伦和伍迪
⁷ Marley, K.; “Cyber Threat Hunting: Tricks and Tools You Need,” Gadellnet, 23 June 2020, http://gadellnet.com/blog/cyber-threat-hunting-tools/
⁸ Shivakumar,年代.; “Threat Intelligence Tools,” EDUCBA, http://www.educba.com/threat-intelligence-tools/
⁹ 穆罕默迪,. K.; “Ten Top Tools for Threat Hunters from Black Hat USA 2018,” Authentic8, 21 August 2018, http://authentic8.blog/10-tools-for-threat-hunters-from-blackhat-usa-2018/
¹⁰ 贝克G.; “A List of the Best Open Source Threat Intelligence Feeds,” logz.2020年5月4日 http://logz.io /博客/ open-source-threat-情报-feeds
¹¹ Banerd W.; “Ten of the Best Open Source Threat Intelligence Feeds,” D3 Security, 30 April 2019, http://d3security.com/blog/10-of-the-best-open-source-threat-intelligence-feeds/
¹² SENKI，“开源威胁情报馈送”， http://www.senki.org/operators-security-toolkit/open-source-threat-intelligence-feeds/
¹³ 网络威胁，“网络威胁情报馈送”， http://thecyberthreat.com/cyber-threat-intelligence-feeds/
¹⁴ G2，“最佳威胁情报服务提供商” http://www.g2.com/categories/threat-intelligence-services
¹⁵ Lee, R. M.; 2020年SANS网络威胁情报(CTI)调查 SANS研究所，美国，2020年2月 http://www.sans.org/reading-room/whitepapers/threats/2020-cyber-threat-intelligence-cti-survey-39395
¹⁶ Shackleford D.; 网络威胁情报的使用、成功与失败:SANS 2017年CTI调查报告， SANS研究所，美国，2017; http://i.crn.com/sites/default/files/ckfinderimages/userfiles/images/crn/custom/CRN360/20170314_Survey_CTI-2017_LookingGlass.pdf
¹⁷ 国家信息共享与分析中心委员会， http://www.nationalisacs.org/
¹⁸ 信息技术-信息共享与分析中心(IT-ISAC)， http://www.it-isac.org/
¹⁹ 弗里德曼J.; M. 布沙尔; 网络威胁情报权威指南， iSIGHT Partners，美国，2015; http://cryptome.org/2015/09/cti-guide.pdf
²⁰ 开源研究人员， 网络 情报分析员的食谱, 2020, http://github.com/threat-hunting/awesome_Threat-Hunting/blob/master/Training%2C%20Documents%20and%20Instructions/Files/The%20Cyber%20Intelligence%20Analyst%20Cookbook%20Volume%201%202020-THlink.pdf
²¹ CyberEdge集团 安全情报手册，第三版， Recorded Future，美国，2020; http://go.recordedfuture.com/hubfs/ebooks/security-情报-handbook-third-edition.pdf?utm_medium =电子邮件&_hsmi = % 2096974607&_hsenc = p2ANqtz-8nZ7Z6uVybOhpY1UcGjy9STS6FwBSLFmyC1zjXIYaBrBcS8mePmvNcMfWyfW0VYsEa84AiGNeIh6XTBbpVkcAM6XIFpwXFhcEV2RByISjeaBxx8IQ&utm_content = % 2096974607&utm_source = hs_automation
²² CyberEdge集团 威胁情报手册，第二版， Recorded Future，美国，2019; http://paper.bobylive.com/Security/threat-intelligence-handbook-second-edition.pdf
²³ Doerr, C.; 网络威胁情报标准高级概述2018年11月16日，荷兰代尔夫特理工大学 http://www.enisa.europa.eu/events/2018-cti-eu-event/cti-eu-2018-presentations/cyber-threat-intelligence-standardization.pdf
²⁴ SANS研究所，SANS网络安全课程和认证， http://www.sans.org/cyber-security-courses/
²⁵ 欧盟网络安全机构，网络安全专家培训， http://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists
²⁶ 认证威胁情报分析员(CTIA)， http://www.eccouncil.org/programs/threat-intelligence-training/

Larry G. Wlosinski、CISA、CRISC、CISM、CDPSE、CAP、CBCP、CCSP、 CDP, CIPM, CISSP, ITIL v3, PMP

是联邦煤火公司的高级顾问. 他有超过22年的 在IT安全和隐私方面有丰富的经验，并曾在美国政府和 关于这些主题的专业会议. 他写了很多 杂志和报纸文章，审查各种ISACA^® 出版物, 以及向注册信息安全经理提出的书面问题^® (CISM^®)及获得风险及资讯系统控制证书^® (CRISC^®) 考试.