网络威胁情报(CTI)是当下发展最快的网络安全细分领域之一,不仅技术和产品在不断更新和演进,方法论和理念也在迅速发展。
过去几年,无论安全组织是否有专职人员,CTI一直被视为安全组织内的独立支柱,它生成关于组织的各种威胁的报告。如今,CTI已经由一个独立支柱逐渐进化为中心枢纽,为安全组织中的所有职能提供威胁相关的知识和优先级信息。值得注意的是:这种变化需要思维方式和方法的转变。
CTI概念的转变
CISO 的传统模型及其在安全组织中的不同职能
威胁情报方法的最新发展正在颠覆传统的概念。威胁情报不再是一个独立的支柱,而是应该在每个安全设备、流程和决策事件中吸收和考虑的东西。因此,威胁情报从业者的任务不再是简单地创建“威胁报告”,而是确保安全组织的每个部分都有效地利用威胁情报作为其日常检测、响应任务的一部分,并进行全面的风险管理。
CTI工作流程的新趋势
自动化——由于缺乏训练有素的人力资源,组织正在其安全运营中实施更多的自动化。在SOAR技术的支持下,机器对机器的通信变得更加容易和主流。能够自动的从组织的CTI工具中提取数据,并不断将其输入各种安全设备和安全流程,而无需人工干预。简单来说,就是支持将CTI无缝、近实时地集成到各种安全设备,以及自动化决策过程中。
扩大对威胁情报的访问——威胁情报供应商在使威胁情报民主化并使各种安全从业者易于在CTI解决方案上投入更多资金。例如,用于安全信息和事件管理 (SIEM) 的本机应用程序,助力其实现将威胁数据与内部日志,或将威胁上下文和风险分析注入浏览器的浏览器扩展中。以前,组织有大量威胁数据需要人工审核并采取行动;如今,组织则拥有无缝集成到安全设备中的可操作洞察能力。
当今 CISO 的新模式以及威胁情报在支持其组织中的不同职能方面的作用
CTI从业者的新使命
CTI 从业者的新使命是针对安全组织中的每个职能定制威胁情报,并使其成为该职能运营不可或缺的一部分。同时,他们还要学习新的软技能,以确保能够与安全组织中的其他职能部门协作。CTI从业者新扩展的思维方式和技能组合将包括:
以下是威胁情报团队需要实施的几个流程示例,以便针对其他安全功能定制威胁情报,并使其成为其运营不可或缺的一部分:
虽然不断发展的CTI模型使威胁情报实施变得更加复杂,因为包括了与不同功能的协作,但这种进化也使威胁情报比以往任何时候都更有价值和影响更大。网络威胁情报正在迎来黄金时代。