没有一个组织能够抵御每一次攻击。攻击的数量和复杂性都在不断增加。然后是永不停息的软件漏洞发现。这已经足够具有挑战性了。
再加上远程工作的新模式和紧缩的预算,你只剩下太少的人来抵御太多的威胁。任何安全团队都不可能跟踪全球网络威胁海洋中的每一滴水。
这就是为什么网络威胁情乐动体育下载链接报(CTI)共享是安全分析师的关键工具。它将从单个组织获得的经验教训分享给整个行业,以加强所有企业的安全实践。
通过共享CTI,安全团队可以相互提醒整个威胁领域的新发现,并标记活跃的网络犯罪活动和网络安全社区应该立即意识到的妥协指标(ioc)。随着这些情报的传播,组织可以共同努力,建立彼此的防御,以对抗最新的威胁。随着防御能力的集体提高,这为网络创造了一种类似羊群的免疫力。
蓝队需要像红队那样行事
一个Exabeam最近的调查显示62%的蓝队在对抗模拟演习中难以阻止红队。一个蓝队负责保卫一个网络。他们比任何红队或网络罪犯都更了解网络的来龙去脉,因此他们有能力发现异常情况和IOCs,并迅速采取行动减轻威胁。
但蓝队的劣势更大;他们大多在只由直接团队成员组成的竖井中工作。他们通常不与其他安全团队、供应商或行业组织共享威胁情报。这意味着他们只从一个角度看待网络威胁。他们对组织外部的真实威胁缺乏更广泛的看法。
这一劣势正是红队和网络罪犯猖獗的地方。他们不仅选择游戏规则——何时、何地以及如何执行攻击——他们还相互分享成功和失败,以不断适应和发展战术。他们在一个交流丰富的环境中茁壮成长,共享框架、工具包、指导方针、漏洞,甚至互相提供类似客户支持的帮助。
对于蓝队来说,从防守转向预防,他们需要把防守带到攻击者的前门。这种主动的方法只有在拥有及时、准确和上下文相关的威胁情报时才能发挥作用。这需要一个社区,而不是一个公司。乐动体育官网下载但许多公司对加入CTI社区犹豫不决。SANS 2020年网络威胁乐动体育下载链接情报调查调查显示,超过40%的受访者既生产情报,也消费情报,在未来几年还有很大的改进空间。
启动CTI共享程序的常见挑战
情报共享面临的最大挑战之一是,企业不明白,随着时间的推移,共享他们的一些网络数据实际上可以增强他们自己的安全性。就像早期的开源软件一样,人们担心,如果你有任何东西公开,就会让你天生更容易受到攻击。但正如开源最终被证明的那样,更多的人在开放环境下合作可以带来许多积极的结果,包括更好的安全性。
另一个主要挑战是,蓝队无法肆无忌惮地分享威胁情报;我们有法律团队。法律团队对在他们的网络上承认国际奥委会的概念并不兴奋。有很多商业敏感信息不应该被分享,法律团队保护这些信息是正确的。
机会在于找到一条合适的路线,在这里您可以共享有助于在更大的社区中加强网络防御的情报,而不会对您的组织造成损害。
如果您是CTI共享的新手,并且想要参与其中,这里有一些建议。
- 跟你的经理说清楚:如果你或你的组织是CTI共享的新手,我建议的第一件事是在你前进之前得到你的经理的认可。对组织共享网络数据的意愿过于自信(尤其是在他们不了解好处的情况下)可能是一个代价高昂但可以避免的错误。
- 从小事开始分享:不要一开始就请求允许分享数据泄露事件的细节,这种事件目前已经让你的公司陷入危机模式。乐动体育官网下载相反,询问是否可以在你的网站上共享一系列强制登录的ip地址。或者也许你最近看到了来自新域名的钓鱼邮件激增,想要分享它。提出连续的小问题,并报告任何有用的发现。
- 当你不能分享情报时,分享你的经验:当你加入一个CTI小组时,你会想要显示你是一个积极的、参与的成员。但有时候你就是没有什么有用的情报可以分享。你仍然可以通过传授你的知识和经验为团队增加价值。你的观点可能会改变别人对他们的过程的想法,使他们成为更好的实践者,从而为更大的利益做出贡献。
- 展示共享CTI的价值:将您在CTI组中的参与与任何表明您的组织的安全状况在此期间有所增加的指标联系起来。例如,展示任何时候参与CTI组直接导致情报,帮助减少警报事件,并帮助您的团队领先于新的攻击。
- 每个人都有一个CTI组:从虚假信息和暗网到医疗设备和执法部门,有一个CTI部分,可以满足你想要参与的一切。有些是只有受邀才能加入的,所以你在公共群组中越活跃,你就越有可能被邀请加入你感兴趣或提供有用情报的群组。这些超利基群体可以为你的组织提供巨大的价值,因为你可以从该领域的顶尖人才那里获得专家咨询。
拥有的数据越多,可以更快地关联的点就越多。加入CTI共享组可以让您访问您甚至不知道的数据,以便在涉及到您的防御行动时更好地做出决策。更重要的是,CTI共享使所有组织更安全,并将我们团结在一个共同的事业下。如果你正在开始,请查看CTI联盟因为这是一个开始你的CTI之旅的好地方。
原载于HelpNet安全
