久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

隨著網(wǎng)絡(luò)威脅的日益復(fù)雜化，網(wǎng)絡(luò)安全威脅情報(CTI)成為了企業(yè)抵御風(fēng)險、優(yōu)化安全投資的關(guān)鍵利器。然而，如何確保在這一領(lǐng)域的投入能夠真正轉(zhuǎn)化為高效的防御能力和可觀的投資回報率(ROI)，卻是一個亟待解決的難題。本文將深入剖析CISO們在網(wǎng)絡(luò)安全情報應(yīng)用中常見的五大誤區(qū)，并提供相應(yīng)的策略建議，助力企業(yè)實現(xiàn)CTI價值的最大化。

一、缺乏風(fēng)險管理框架

要從全面的CTI項目中獲取價值，CISO們首先需要構(gòu)建堅實的風(fēng)險管理框架，并配備相應(yīng)的基礎(chǔ)設(shè)施，以便對所攝入的情報源進行恰當(dāng)?shù)姆治龊颓榫郴幚?。正如Qualys威脅研究部門的網(wǎng)絡(luò)威脅主管Ken Dunham所言：“CTI應(yīng)該歸屬于你的風(fēng)險管理范疇，若你尚未建立風(fēng)險管理程序，那么識別這一優(yōu)先事項至關(guān)重要。核心問題在于：你試圖保護的關(guān)鍵要素是什么?你的‘王冠寶石’或高價值資產(chǎn)位于何處?”缺乏風(fēng)險管理來設(shè)定優(yōu)先級，企業(yè)將無法合理設(shè)定情報收集要求，從而無法收集到與最寶貴資產(chǎn)相關(guān)的相關(guān)情報源。

此外，CTI在用于情境化組織內(nèi)部基礎(chǔ)設(shè)施活動的安全分析時最具價值。這意味著組織需要梳理好自身的分析程序以及數(shù)據(jù)科學(xué)和數(shù)據(jù)管理，才能真正從引入的外部情報中挖掘出價值。Ontinue的威脅響應(yīng)主管Balazs Greksza指出：“從戰(zhàn)略層面來看，平衡降低總體擁有成本(TCO)與安全價值及價值實現(xiàn)時間，同時整合所有重要的內(nèi)部數(shù)據(jù)源和工具，是一個復(fù)雜的難題。安全并非大數(shù)據(jù)問題，而是在正確的時間獲取正確的信息和情報，以得出正確的結(jié)論。”因此，CISO們需要仔細思考內(nèi)部數(shù)據(jù)與外部情報將在何處相互情境化。Greksza強調(diào)，安全數(shù)據(jù)湖與XDR、SIEM或合規(guī)監(jiān)控解決方案的用例大相徑庭，這就意味著要明確界定所有情報和分析數(shù)據(jù)如何推動更好的決策制定。CISO們或許可以先從引入數(shù)據(jù)平臺工程師著手，為SOC及更廣泛的領(lǐng)域打造全面的數(shù)據(jù)戰(zhàn)略。

二、依賴低質(zhì)量情報

低質(zhì)量的情報往往比沒有情報更糟糕，它會導(dǎo)致分析師耗費大量時間去驗證和情境化這些質(zhì)量欠佳的情報源。更嚴重的是，如果這項工作沒有妥善完成，低質(zhì)量數(shù)據(jù)甚至可能在運營或戰(zhàn)略層面引發(fā)錯誤的決策。安全領(lǐng)導(dǎo)者應(yīng)要求其情報團隊定期根據(jù)幾個關(guān)鍵屬性來評估情報源的實用性，情報專業(yè)人員通常會用CART這一縮寫來概括這些屬性，即完整性、準(zhǔn)確性、相關(guān)性和及時性。

完整性意味著每條情報都能全面呈現(xiàn)威脅情況，涵蓋行為者、方法論以及受影響系統(tǒng)等要素，Critical Start的網(wǎng)絡(luò)威脅研究高級經(jīng)理Callie Guenther解釋道。準(zhǔn)確性或許是決定情報源價值的關(guān)鍵要素之一，“情報源的可信度和可靠性至關(guān)重要，不準(zhǔn)確的情報可能導(dǎo)致誤報、資源浪費以及潛在的未解決威脅暴露風(fēng)險?！毕嚓P(guān)性則表明情報與組織的行業(yè)、技術(shù)棧和地理位置密切相關(guān)。及時性關(guān)乎情報是否足夠新穎，以便能夠影響組織的行動方式。顯然，情報源往往需要在及時性和準(zhǔn)確性之間尋求平衡，隨著威脅研究的不斷深入。

最終，Guenther還建議在CART中加入另一個“A”，形成CAART，即行動性?！扒閳髴?yīng)足夠詳細和具體，以推動安全行動，例如調(diào)整安全設(shè)備、更新政策或修補漏洞。”她說道。

三、忽視需求收集

比評估潛在情報源質(zhì)量更為基礎(chǔ)的是，CISO們要確保團隊選擇的情報源確實符合自身的安全項目和業(yè)務(wù)需求。安全團隊在威脅情報項目中常犯的一個錯誤就是跳過了確定誰需要何種情報以做出明智安全決策這一過程。

“CTI的有效性取決于組織接收情報的能力。為了構(gòu)建有效的CTI項目，組織在各個層面都必須向情報團隊提出要求，并樂于消費情報以指導(dǎo)流程和決策?！盋ybersixgill的安全研究主管Dov Lerner表示。需求收集階段是CTI生命周期的第一步，但卻常常被忽視，或者僅限于SOC分析師這類有特定技術(shù)要求的人員。Guenther也同意Lerner的觀點，認為情報團隊?wèi)?yīng)從企業(yè)內(nèi)部各種不同類型的情報消費者那里收集需求。“組織可能未能定義清晰、可操作且優(yōu)先級明確的情報需求，從而導(dǎo)致數(shù)據(jù)無關(guān)緊要或數(shù)量過多?！睘榱苏嬲l(fā)揮CTI投資的最大效益，CTI需要有足夠的資源和組織聯(lián)系，以便與安全領(lǐng)域內(nèi)外的各種利益相關(guān)者進行互動，Lerner如是說。

一些組織或許還可以考慮創(chuàng)建一個供利益相關(guān)者請求新情報的項目。NCC集團全球網(wǎng)絡(luò)威脅情報主管Matt Hull表示，他的公司通過這種方式使需求收集更具重復(fù)性和一致性。NCC有一套類似情報請求工單的系統(tǒng)?！拔覀兎Q之為RFI流程——即情報請求，這本質(zhì)上是向我的團隊發(fā)出的一個機制，詢問利益相關(guān)者‘你想回答什么問題?’然后進行分類并傳遞給相關(guān)團隊?！彼f道。

四、過度聚焦戰(zhàn)術(shù)威脅情報

Guenther指出，組織在啟動CTI項目時最常見的威脅情報錯誤之一就是過度強調(diào)戰(zhàn)術(shù)情報?！半m然戰(zhàn)術(shù)情報至關(guān)重要，但僅關(guān)注入侵指標(biāo)(IoCs)而缺乏戰(zhàn)略或運營背景，可能導(dǎo)致被動而非主動的安全態(tài)勢?！盚ull和Dunham都堅信，最強大的CTI團隊能夠在戰(zhàn)術(shù)、運營和戰(zhàn)略情報這三個主要方面進行收集和運營。戰(zhàn)術(shù)情報遵循傳統(tǒng)的IoC模式，以及來自惡意軟件分析和其他監(jiān)控中非常具體的、能夠增強威脅檢測的技術(shù)信息片段。運營情報則上升到行為情報層面，圍繞戰(zhàn)術(shù)、技術(shù)、程序(TTPs)展開。而戰(zhàn)略情報則是涵蓋地緣政治、行業(yè)和商業(yè)背景等更宏觀層面的信息。在NCC，Hull有三個不同的團隊分別專注于這三個領(lǐng)域，以確保項目在每個方面都恰到好處。

戰(zhàn)略情報通常是組織最容易忽視的部分，而它往往能帶來最大的財務(wù)價值，因為戰(zhàn)略情報可以幫助根據(jù)威脅態(tài)勢的實際發(fā)展來優(yōu)先排序支出。此外，戰(zhàn)略情報還能助力CISO們從長遠角度證明自身行動和投資回報率?！昂茈y理解CTI能力的投資回報率。將情報輸入風(fēng)險管理流程非常有用，因為你可以將威脅情報的一些輸入量化到風(fēng)險管理工作中。”Hull說道，他認為這可以引導(dǎo)CISO們邁向更復(fù)雜的網(wǎng)絡(luò)風(fēng)險量化分析之路。

五、輕視情報傳播

即使CTI在收集利益相關(guān)者所需的確切優(yōu)質(zhì)情報方面表現(xiàn)出色，但如果這些情報沒有被恰當(dāng)?shù)貍鬟f給需要的人——并且是以對他們來說有意義的格式呈現(xiàn)，那么所有這些工作都將付諸東流。

“情報傳播階段常常會遇到困難，這通常是CTI分析師處理和向利益相關(guān)者交付最終情報的時候?！盠erner說道。他解釋說，許多情報團隊并不擅長根據(jù)適當(dāng)受眾來定制信息。例如，如果為高管層準(zhǔn)備的戰(zhàn)略情報充斥著縮寫和數(shù)據(jù)，那么它將無法提供太多價值;同樣，如果戰(zhàn)術(shù)情報以非結(jié)構(gòu)化報告的形式呈現(xiàn)，SOC分析師難以處理，那么它也是不可用的。

確保專注且有針對性地傳播情報的最佳方式是在需求階段敲定細節(jié)，Hull表示?！爱?dāng)你設(shè)定這些需求時，你就確定了傳播發(fā)生的頻率以及傳播機制?！彼忉屨f，關(guān)鍵在于從一開始就確定如何使其最容易被相關(guān)利益相關(guān)者獲取和共享。

顯而易見，最大化網(wǎng)絡(luò)安全項目中CTI價值并無捷徑可走，但CISO們?nèi)裟軐Ｗ⒂诒荛_上述五大誤區(qū)，便更有機會從情報中獲取最大收益，從而在網(wǎng)絡(luò)安全的復(fù)雜戰(zhàn)場上占據(jù)優(yōu)勢，守護企業(yè)的數(shù)字資產(chǎn)安全，實現(xiàn)安全投資的高效轉(zhuǎn)化與持續(xù)增值。

來源：GoUpSec