→產品訊息

新聞中心

 

利用威脅情報提高網路恢復能力

根據SANS CTI 2019調查結果,72%的組織消費或生產威脅情報。雖然大多數組織都有智能數據,但他們很難定義需求並將網絡威脅情報(CTI)作為一個具有可測量輸出的程序進行管理。這可能是威脅數據和情報被視為與業務目標無關的技術功能造成的。

我們需要改變這種看法。

在我看來,與威脅情報最密切相關的關鍵業務目標是風險管理和網絡彈性。威脅情報可以影響兩者的結果。

網絡彈性本身需要風險管理和適應性。企業變得更具彈性的需求推動了對適應性安全體系結構的需求 - 這種體系結構不僅有效地利用威脅情報來改進安全操作,尤其是事件響應,還可以調整端點和網絡控制等網絡防禦以防止最新威脅。

與此同時,專注於改善網絡安全的法規正在推動持續的風險管理方法。例如,2016年,歐盟發布了NIS(網絡和信息系統)指令,該指令提供了一個法律框架,以提高關鍵行業的網絡安全總體水平,並專門呼籲組織和國家當局之間的威脅情報和事件共享。考慮到這些驅動因素,我們現在需要設計一個託管流程,目標是創建一種有效的方法來提高CTI的業務價值。我們可以按如下方式定義此過程:

  • 發現最有價值的數據源
  • 使用自動化來收集,調查,響應和共享
  • 將CTI整合到網絡防禦流程中
  • 衡量以證明威脅情報的價值

1.收集,重複數據刪除和聚合

CTI管理流程的第一步是數據或訂閱源的收集,重複數據刪除和聚合。企業級的主要差距之一是收集當地生產的威脅情報。Local Threat Intelligence包括從沙箱和事件等分析解決方案生成的數據。沙箱通常以妥協指標(IOC)的形式產生情報數據。這些本地源可能會暴露有針對性的攻擊,因此可能是最有價值的威脅數據源。

McAfee的開放式架構允許以各種方式生成,消費和共享威脅情報。以下是我們的架構如何使用開源工具MISP自動聚合各種CTI源的示例。MISP平台訂閱邁克菲數據交換層消息傳遞結構,以實時使用McAfee的Advanced Threat Defense沙箱中的IoC。此外,MISP使用和管理來自開源或付費來源的供稿,提供管理威脅英特爾流程的入門級工具。

這是我們的架構如何支持聚合過程的另一個例子,這次是與商業供應商ThreatQ合作。

2.調查和狩獵

CTI管理過程的第二步是調查和狩獵。在這裡,最重要的任務是弄清楚如何使威脅情報可行,這可以通過回答以下問題來完成:

  • 我們過去在企業中看到過任何相關工件(IP地址連接,哈希/文件執行)嗎?
  • 我們現在擁有任何具有相關工件的設備嗎?

在回答這些問題之前,必須從企業傳感器收集正確的數據。基本信息應包括IP地址連接,端點上的文件哈希,Web代理,DNS和Active Directory日誌。這些日誌為關聯和歷史分析提供了必要的數據。以下示例演示了體系結構如何自動執行某些關鍵分類步驟。

MISP可以將威脅情報推送到McAfee的SIEM解決方案ESM(企業安全管理器)中,以實現歷史分析的自動化。在那裡,它可以查詢McAfee的Threat Intelligence Exchange服務器,以確定哪些系統執行了相關工件,以及它們在何時何地執行。此外,MISP可以使用McAfee Active Response對受McAfee保護的端點運行實時查詢,以識別當前位於企業網絡中的任何持久性工件。

這是使用ThreatQ的另一個示例。這一次,ThreatQ與McAfee ESM,Active Response和McAfee TIE進行交互,以識別具有或存在與威脅情報指標相關的工件的系統。這些各種集成支持手動濃縮任務和調查。

下面的屏幕截圖突出顯示了各種McAfee集成作為調查的一部分。

3.回應

CTI管理流程的第三步是回應。網絡威脅情報對於預防最新威脅至關重要,應納入關鍵的網絡防禦對策。以下示例演示了使用McAfee的開放式架構的自動更新過程,其中數據交換層(DXL)結構作為關鍵組件。

ThreatQ可以通過DXL結構與McAfee技術進行通信。在此過程中,ThreatQ能夠使用威脅情報更新關鍵的網絡防禦對策工具,以防範最新的威脅。

此流程步驟的另一部分是與其他方(例如合作夥伴和社區)共享威脅情報。大多數威脅情報平台(開源和商業)支持各種外部CTI共享協議。這包括TLP,STIX,TAXII和DXL。這些協議支持共享數據的自動交換和治理。

此流程步驟的另一部分是與其他方(例如合作夥伴和社區)共享威脅情報。大多數威脅情報平台(開源和商業)支持各種外部CTI共享協議。此列表包括TLP,STIX,TAXII和DXL,其中包含有助於自動交換和管理共享數據的協議。

4.測量

最後,威脅情報的價值可以通過衡量各種結果來證明。以下是一些通常量化和報告的指標:

  1. 已刪除重複的威脅情報工件數
  2. 對平均響應時間的影響
  3. 威脅情報生成的IOC數量
  4. 基於威脅情報確定的事件數
  5. 通過威脅情報阻止的攻擊數量

摘要

創建和實施正確的流程對於企業內網絡威脅情報的成功至關重要。在這篇博客中,我們定義了收集,調查,響應和測量的CTI管理流程。邁克菲的研究,管理平台和開放式架構使您能夠實施此流程,從網絡威脅情報中獲取最大價值,促進彈性並實現更好的風險管理。

鏈接到其他資源


資料來源:https://securingtomorrow.mcafee.com/business/improving-cyber-resilience-with-threat-intelligence/