全球疫情的大流行似乎给网络攻击者创造了一个新的“施展”时机。
依旧层出不穷的遗留漏洞、缺乏安全的代码开发和破坏力激增的数据泄露等,无一不让企业安全团队陷入焦灼。近日,安全公司Recorded Future发布了《The Security Intelligence Handbook(Third Edition)》(安全情报手册第三版),旨在解答“如何利用安全情报打击对手并降低风险”的问题。
在报告中,Recorded Future在全面明晰安全情报概念范畴的基础上,详细探讨了SecOps、漏洞、威胁、第三方、品牌以及地缘政策等六大安全情报模块的应用价值和工作流程,阐释了安全情报方案构建的具体方法和建议,并提出安全情报应成为企业提升未知威胁感知效率、增强风险决策有效性、降低潜在安全风险值、占据攻防先机的首选策略工具。
贯穿六大应用模块
全面提升风险响应能力
加上安全二字之后,情报的价值发生了显著的变化。IDC数据显示,相关企业在使用安全情报后,风险预判能力实现了超10倍的增长,安全方案响应速度提升了63%。基于对安全情报应用场景现状及新趋势的综合分析,结合企业安全情报的场景需求,报告详细阐述了安全情报的六大应用模块及其目标效果,以期为企业提供可操作性强的定制情报信息,助力提升安全决策的灵活性和准确性。
简单来说,在安全新生态下,将安全情报纳入到SecOps、漏洞、威胁、第三方、品牌保护、地缘政策等安全场景,将有效地提升企业预判和响应风险的能力,是企业适应数字化升级需求,瓦解新安全威胁“进化”手段的必备工具。
首先,在SecOps 安全情报模块,报告认为SecOps安全情报的运用,既可以帮助企业安全团队实现对最新威胁数据的自动分类与关联,快速识别重要威胁;还可以通过潜在威胁的主动提前识别和有限排序,大幅缩减安全团队响应时间,增强企业安全事故的应变能力,帮助企业建立全面、语境化、综合的突发事件应变机制。
其次,就漏洞安全模块而言,报告认为,漏洞关联作为为数不多企业主动“防御术”,其信息来源的有效性是实现转化为风险决策关键价值的前提。而漏洞数据库表现出的“严重程度评级”误导性和缺乏及时性等特征,使其无法为企业决策提供准确依据。挖掘企业真实漏洞情报的有效搜集方式应该是:“以资产扫描和外部漏洞数据库为起点,整合关联内部数据、网站、暗网、论坛及技术研究中的新风险进展等”。通过交叉情报引用描绘出真实的漏洞安全图景,提升安全团队应对漏洞利用加快的高效决策挑战。
第三,威胁情报方面,威胁情报因直接关注威胁的精准定位、响应效率及延展情报的生成,而对降低企业风险至关重要。Recorded Future研究人员认为,威胁安全情报主要充当着两大角色作用。一是安全团队了解威胁者动机、方法和策略,占领攻防先机的重要策略。通过对现有和潜在威胁信息的整合关联,助力安全团队塑造更全面的事故响应机制,实现更有效的前置预警。二是建立基于风险的客观评估与决策模型,在正确评估威胁概率的基础上,有效量化投资成本,为决策效果最大化的实现提供数据支撑。
第四,关于第三方安全,各产业供应链业务紧密度的持续增加,使得合作伙伴、供应商和其他第三方组织的安全性成为企业评估自身安全风险时的重要考量。与传统依赖诸如自我评估、财务审计、漏洞月报以及偶发安全事故情况说明等的静态风险评估方式相比,一个具有自动化分析、实时风险评分体系、开放透明威胁共享机制等特征的实时第三方安全情报显然是企业准确评估第三方风险、保持威胁评估最新性的更佳方案。
第五,在品牌保护场景中,报告指出,针对企业品牌的威胁攻击大部分是采用实际并未触及品牌本身网络或系统的方式进行的,给企业形象、声誉和客户都将带来不同程度的损害。一个既能发现品牌冒充和滥用行为,又能及时发现网络违规内容和泄露数据的品牌安全情报方案已成为当前企业所需。同时,其价值更在于能够通过广范围的资源和数据搜集,对品牌风险进行检测、评分与优先处理,并生成具有高可操作性的集成安全补救策略,形成品牌风险防护的动态链路。
此外,全球化趋势下,地缘政策安全情报也日趋重要。其价值就在于能够帮助企业规避或者降低业务范畴内政府政策、社会动荡、自然灾害等带来的负面影响,达到快速响应和防止影响扩延的目的。基于地缘政策情报受限于“地域”的特性,报告提出以“地理围栏(Geofencing)”搜集相关数据。具体来说,在构建地缘政策情报解决方案中,位置、客户、设施、网络威胁、媒体、暗网等数据信息的收集都需要以地域为核心维度,进而借助分析工具,得出专属情报模型,增强企业适应地域动态变化能力。
“自上而下”构建安全情报全生命周期体系
占据攻防先机
报告指出,近年来,安全情报已成为企业CISOs评估业务和技术风险、确定风险战略、向管理层诠释风险本质和评估安全投入商业价值等工作的关键资源。一个有效的安全情报体系的落地应用能够给企业带来提升风险管理水准、拓展早期预警范畴、优化安全投产比、降低沟通成本、缓解人员技能差距等价值。为更好地帮助企业占据攻防“先机”,报告详细介绍了企业创建和拓展安全情报体系的方法和建议:
- 明确安全情报的需求与目标是企业构建有效安全情报体系的首要任务。企业需要在明晰风险构成、潜在影响和人员构成的基础上,选择一个或者多个适合的安全情报分析框架,以帮助安全团队更好地理解攻击者的行为目标和路径。
- 在具体功能设置方面,找到几种高价值安全信息并进行监控,实现以较少的投入获得快速盈利,提升预测突发威胁和提供早期告警的能力;确保每份生成威胁报告的有效信息含量,使其发挥实际效用;注重数据聚合、语境化风险、风险标签甚至是信息共享的自动化,提升安全情报体系工作效率;同时,注重安全情报方案与现有系统的适配性。
- 安全团队配备方面,在安全情报体系的全面开发过程中,配备一个专门的建设团队承担威胁数据的收集、处理、分析和传播工作,以为企业提供最大价值的情报。同时,与情报供应商、行业研究团队以及安全情报界合作,不断丰富企业威胁数据体系,确保安全决策的准确性和连续性的同时,借助合作生态达到培养内部专家的目的。
- 安全情报体系的构建应当遵从一个从简单到逐步扩大的发展路径。
综上来看,安全情报体系不仅能够帮助企业有效解决安全运作效能提升、事故响应能力提高、威胁及漏洞风险管理等传统安全运营问题,还能为第三方风险、品牌保护和地缘政策等新风险场景提供高效策略,是新生态下数字化企业乃至整个产业安全占据攻防先机,寻求平稳发展的“利器”。全球最大信息安全培训机构SANS调查数据显示,有80%的组织认为自己从威胁情报中获益。
然而,值得一提的是,除上述应用思路外,伴随产业互联网的纵深发展,越来越多的企业将公有云作为业务承载的新选择。随之而来的,企业级业务场景开放度和边界模糊化的提升,加之各类高级和未知威胁的迭代演化,云上安全情报在企业重要决策中的参考权重也大幅上升。基于攻防场景的这一变化,腾讯安全认为,云上企业应当以云原生为核心,构建出一套具有事前安全预防、事中安全事件统一监测和威胁检测、事后响应处置等构成体系的全局可视化安全运营体系,从而助力实现企业级安全威胁从全面检测、智能分析、快速响应到高效态势预测的完整闭环,使得安全情报应用效果最优化,帮助企业打好云上安全攻防“第一战”。值得关注的是,出于成本和效益最大化的考虑,通过接入诸如腾讯安全运营中心等由安全厂商提供的成熟产品或是当前数字化企业构筑新场景下安全情报应用闭环的最优做法。