現(xiàn)在威脅和攻擊者正在迅速演變，大多數(shù)企業(yè)都無法趕上它們的步伐。新的復(fù)雜的零日漏洞也在不斷涌現(xiàn)，并被攻擊者利用來入侵企業(yè)系統(tǒng)。與此同時，聰明的攻擊者可以隱藏在企業(yè)系統(tǒng)長達數(shù)月甚至數(shù)年，逐漸竊取企業(yè)有價值的數(shù)據(jù)。

對于試圖部署和管理安全控制來阻止高級攻擊的企業(yè)安全團隊而言，威脅情報可以讓他們事半功倍。添加威脅情報到現(xiàn)有的信息安全計劃可以加強威脅評估，并提供更多的關(guān)鍵數(shù)據(jù)來顯示哪些安全控制可以部署在企業(yè)環(huán)境中以阻止最新的攻擊。

在本文中，我們將探討什么是威脅情報，并討論如何將威脅情報整合到企業(yè)信息安全計劃中。

威脅情報的歷史和現(xiàn)狀

企業(yè)或服務(wù)供應(yīng)商對威脅情報的定義各有不同。一些人將威脅情報定義為當(dāng)攻擊發(fā)生時發(fā)現(xiàn)攻擊，而其他人則將其定義為威脅制造者在攻擊中使用的技術(shù)。一般來說，威脅情報是指企業(yè)從各種來源收集和分析關(guān)于最新威脅媒介的信息，然后利用這些信息來抵御攻擊。

信息安全領(lǐng)域的很多專業(yè)人士在老派攻擊時期開始了他們的職業(yè)生涯，當(dāng)時電子郵件列表(例如Bugtraq)、電子雜志(例如Phrack)和互聯(lián)網(wǎng)都在快速普及。那個時候，人們使用這些相對簡單的來源作為威脅情報，但即便如此，當(dāng)時的人們?nèi)匀恢篮土私夂芏嗖煌I(lǐng)域的攻擊和研究的最新狀態(tài)。相比之下，這在今天是不可能的事情，即使是最專業(yè)的安全專家也不可能知道不斷被發(fā)現(xiàn)的各種新威脅。

最近，企業(yè)嘗試利用IT安全風(fēng)險管理技術(shù)來更好地優(yōu)化安全控制，以及調(diào)整信息安全計劃，但這些方法并沒有足夠完善，來有效地管理風(fēng)險。添加新方法(例如威脅情報)來幫助優(yōu)化安全控制可以幫助企業(yè)更快地適應(yīng)最新攻擊，特別是更快地識別它們以及提高事件響應(yīng)速度。

那么，這些“情報”從何而來?企業(yè)可以投資大量資源來打造自己的研究人員和分析師團隊，從頭開始創(chuàng)建一個威脅情報計劃，但大多數(shù)企業(yè)沒有足夠的資金這樣做。另一種選擇是訂閱安全供應(yīng)商提供的威脅情報服務(wù)。每個供應(yīng)商都有自己的特色，但很多供應(yīng)商試圖強調(diào)突出其產(chǎn)品組合優(yōu)勢的威脅情報，因此企業(yè)需要考慮采用混合和綜合服務(wù)。第三種方法是加入信息共享和分析中心(ISAC)，這種方法正在逐漸流行，這種方法是指大家分享特定行業(yè)的威脅數(shù)據(jù)，然后整合到本地分析和工具中。

整合威脅情報

在選擇威脅情報來源后，企業(yè)必須想辦法將威脅情報整合到信息安全計劃中。標準化(通常是XML)的威脅情報資源和信息流可以被整合到各種安全設(shè)備中，例如，已知的惡意IP地址可以輸入到防火墻并進行阻止，而已知的惡意域名可以被DNS阻止，惡意下載的文件可以被網(wǎng)絡(luò)監(jiān)控工具識別，或者包括在系統(tǒng)管理工具中來識別特定文件或工具。你還可以配置SIEM系統(tǒng)來整合威脅情報資源以識別受感染主機。后續(xù)調(diào)查的額外威脅數(shù)據(jù)也可以用于進一步分析不同的系統(tǒng)，以及與其他企業(yè)共享的系統(tǒng)，使得信息能夠投入使用。

威脅情報的一大賣點是企業(yè)可以利用這些信息在攻擊啟動之前就抵御攻擊。通過監(jiān)測威脅情報中是否存在針對特定軟件、系統(tǒng)或行業(yè)的攻擊，企業(yè)可以確定其是否在使用易受攻擊的軟件或系統(tǒng)，然后在攻擊發(fā)生前部署緩解措施。例如，如果攻擊者瞄準了使用漏洞版本W(wǎng)ordPress的Web服務(wù)器，試圖將其作為攻擊內(nèi)部網(wǎng)絡(luò)的支點，企業(yè)可以查找易受攻擊的WordPress安裝，并部署緩解措施，甚至更新到最新版本來阻止這種攻擊。在大型企業(yè)中，針對企業(yè)網(wǎng)絡(luò)中某個區(qū)域的攻擊可以用于發(fā)現(xiàn)威脅數(shù)據(jù)，而這些威脅數(shù)據(jù)可以用于調(diào)查對整個網(wǎng)絡(luò)的攻擊。

收集和管理內(nèi)部威脅情報似乎是合理的，但為了有效利用很多其他企業(yè)的數(shù)據(jù)來執(zhí)行這種工作，企業(yè)最好轉(zhuǎn)向第三方服務(wù)供應(yīng)商。服務(wù)供應(yīng)商可以對入站智能信息進行驗證和數(shù)據(jù)整理，這樣，企業(yè)只需要簡單地導(dǎo)入數(shù)據(jù)到內(nèi)部工具，從而專注于阻止和檢測攻擊。

總結(jié)

為了阻止老練的攻擊者，企業(yè)信息安全計劃需要足夠的靈活性，并添加新方法來提高決策過程。添加威脅情報到信息安全計劃，無論是通過內(nèi)部部署還是從服務(wù)供應(yīng)商，都可以幫助企業(yè)優(yōu)化安全活動，并專注于最有可能阻止攻擊的領(lǐng)域。隨著威脅變得越來越復(fù)雜和有針對性，企業(yè)應(yīng)該抓住一切可以利用的機會來更多地了解用來對付它們的技術(shù)，并運用這些知識來建立一個更有效的安全計劃