現(xiàn)在威脅和攻擊者正在迅速演變，大多數(shù)企業(yè)都無法趕上它們的步伐。新的復(fù)雜的零日漏洞也在不斷涌現(xiàn)，并被攻擊者利用來入侵企業(yè)系統(tǒng)。與此同時(shí)，聰明的攻擊者可以隱藏在企業(yè)系統(tǒng)長達(dá)數(shù)月甚至數(shù)年，逐漸竊取企業(yè)有價(jià)值的數(shù)據(jù)。

對于試圖部署和管理安全控制來阻止高級攻擊的企業(yè)安全團(tuán)隊(duì)而言，威脅情報(bào)可以讓他們事半功倍。添加威脅情報(bào)到現(xiàn)有的信息安全計(jì)劃可以加強(qiáng)威脅評估，并提供更多的關(guān)鍵數(shù)據(jù)來顯示哪些安全控制可以部署在企業(yè)環(huán)境中以阻止最新的攻擊。

在本文中，我們將探討什么是威脅情報(bào)，并討論如何將威脅情報(bào)整合到企業(yè)信息安全計(jì)劃中。

威脅情報(bào)的歷史和現(xiàn)狀

企業(yè)或服務(wù)供應(yīng)商對威脅情報(bào)的定義各有不同。一些人將威脅情報(bào)定義為當(dāng)攻擊發(fā)生時(shí)發(fā)現(xiàn)攻擊，而其他人則將其定義為威脅制造者在攻擊中使用的技術(shù)。一般來說，威脅情報(bào)是指企業(yè)從各種來源收集和分析關(guān)于最新威脅媒介的信息，然后利用這些信息來抵御攻擊。

信息安全領(lǐng)域的很多專業(yè)人士在老派攻擊時(shí)期開始了他們的職業(yè)生涯，當(dāng)時(shí)電子郵件列表(例如Bugtraq)、電子雜志(例如Phrack)和互聯(lián)網(wǎng)都在快速普及。那個(gè)時(shí)候，人們使用這些相對簡單的來源作為威脅情報(bào)，但即便如此，當(dāng)時(shí)的人們?nèi)匀恢篮土私夂芏嗖煌I(lǐng)域的攻擊和研究的最新狀態(tài)。相比之下，這在今天是不可能的事情，即使是最專業(yè)的安全專家也不可能知道不斷被發(fā)現(xiàn)的各種新威脅。

最近，企業(yè)嘗試?yán)肐T安全風(fēng)險(xiǎn)管理技術(shù)來更好地優(yōu)化安全控制，以及調(diào)整信息安全計(jì)劃，但這些方法并沒有足夠完善，來有效地管理風(fēng)險(xiǎn)。添加新方法(例如威脅情報(bào))來幫助優(yōu)化安全控制可以幫助企業(yè)更快地適應(yīng)最新攻擊，特別是更快地識別它們以及提高事件響應(yīng)速度。

那么，這些“情報(bào)”從何而來?企業(yè)可以投資大量資源來打造自己的研究人員和分析師團(tuán)隊(duì)，從頭開始創(chuàng)建一個(gè)威脅情報(bào)計(jì)劃，但大多數(shù)企業(yè)沒有足夠的資金這樣做。另一種選擇是訂閱安全供應(yīng)商提供的威脅情報(bào)服務(wù)。每個(gè)供應(yīng)商都有自己的特色，但很多供應(yīng)商試圖強(qiáng)調(diào)突出其產(chǎn)品組合優(yōu)勢的威脅情報(bào)，因此企業(yè)需要考慮采用混合和綜合服務(wù)。第三種方法是加入信息共享和分析中心(ISAC)，這種方法正在逐漸流行，這種方法是指大家分享特定行業(yè)的威脅數(shù)據(jù)，然后整合到本地分析和工具中。

整合威脅情報(bào)

在選擇威脅情報(bào)來源后，企業(yè)必須想辦法將威脅情報(bào)整合到信息安全計(jì)劃中。標(biāo)準(zhǔn)化(通常是XML)的威脅情報(bào)資源和信息流可以被整合到各種安全設(shè)備中，例如，已知的惡意IP地址可以輸入到防火墻并進(jìn)行阻止，而已知的惡意域名可以被DNS阻止，惡意下載的文件可以被網(wǎng)絡(luò)監(jiān)控工具識別，或者包括在系統(tǒng)管理工具中來識別特定文件或工具。你還可以配置SIEM系統(tǒng)來整合威脅情報(bào)資源以識別受感染主機(jī)。后續(xù)調(diào)查的額外威脅數(shù)據(jù)也可以用于進(jìn)一步分析不同的系統(tǒng)，以及與其他企業(yè)共享的系統(tǒng)，使得信息能夠投入使用。

威脅情報(bào)的一大賣點(diǎn)是企業(yè)可以利用這些信息在攻擊啟動之前就抵御攻擊。通過監(jiān)測威脅情報(bào)中是否存在針對特定軟件、系統(tǒng)或行業(yè)的攻擊，企業(yè)可以確定其是否在使用易受攻擊的軟件或系統(tǒng)，然后在攻擊發(fā)生前部署緩解措施。例如，如果攻擊者瞄準(zhǔn)了使用漏洞版本W(wǎng)ordPress的Web服務(wù)器，試圖將其作為攻擊內(nèi)部網(wǎng)絡(luò)的支點(diǎn)，企業(yè)可以查找易受攻擊的WordPress安裝，并部署緩解措施，甚至更新到最新版本來阻止這種攻擊。在大型企業(yè)中，針對企業(yè)網(wǎng)絡(luò)中某個(gè)區(qū)域的攻擊可以用于發(fā)現(xiàn)威脅數(shù)據(jù)，而這些威脅數(shù)據(jù)可以用于調(diào)查對整個(gè)網(wǎng)絡(luò)的攻擊。

收集和管理內(nèi)部威脅情報(bào)似乎是合理的，但為了有效利用很多其他企業(yè)的數(shù)據(jù)來執(zhí)行這種工作，企業(yè)最好轉(zhuǎn)向第三方服務(wù)供應(yīng)商。服務(wù)供應(yīng)商可以對入站智能信息進(jìn)行驗(yàn)證和數(shù)據(jù)整理，這樣，企業(yè)只需要簡單地導(dǎo)入數(shù)據(jù)到內(nèi)部工具，從而專注于阻止和檢測攻擊。

總結(jié)

為了阻止老練的攻擊者，企業(yè)信息安全計(jì)劃需要足夠的靈活性，并添加新方法來提高決策過程。添加威脅情報(bào)到信息安全計(jì)劃，無論是通過內(nèi)部部署還是從服務(wù)供應(yīng)商，都可以幫助企業(yè)優(yōu)化安全活動，并專注于最有可能阻止攻擊的領(lǐng)域。隨著威脅變得越來越復(fù)雜和有針對性，企業(yè)應(yīng)該抓住一切可以利用的機(jī)會來更多地了解用來對付它們的技術(shù)，并運(yùn)用這些知識來建立一個(gè)更有效的安全計(jì)劃