新興威脅情報(bào)工具旨在提高數(shù)據(jù)安全性以及規(guī)范整個(gè)行業(yè)的威脅情報(bào)。在本文中，專家Kevin Beaver對此進(jìn)行了詳細(xì)介紹。

你的企業(yè)正在使用威脅情報(bào)嗎?如果是這樣，你可能已經(jīng)注意到這種信息缺乏標(biāo)準(zhǔn)化，并且，組織和政府機(jī)構(gòu)之間缺乏合作。

從早期的Infragard以及隨后政治家推動的網(wǎng)絡(luò)安全立法來看，我們一直有著收集、分析和共享威脅情報(bào)的長期目標(biāo)。

現(xiàn)在，新出現(xiàn)的框架和服務(wù)正在幫助企業(yè)更好地了解那些蓄意對其網(wǎng)絡(luò)和企業(yè)造成傷害的攻擊者。然而，對于不同行業(yè)的企業(yè)，威脅情報(bào)并沒有標(biāo)準(zhǔn)化。每個(gè)企業(yè)都使用不同的方法，他們面對著不同的威脅源，對收集的數(shù)據(jù)采用不同的分析和處理方式。僅僅因?yàn)槠髽I(yè)和政府機(jī)構(gòu)正在收集有價(jià)值的情報(bào)，并不意味著他們正在以正確的方式利用這些情報(bào)。在很多情況下，審查這些信息的IT和安全人員甚至可能不知道他們在看什么或者無法把情報(bào)應(yīng)用到具體的情況。

在本文中，我們將看看一些新興的威脅情報(bào)工具和標(biāo)準(zhǔn)，并探討企業(yè)應(yīng)該如何更好地評估威脅情報(bào)工具和標(biāo)準(zhǔn)。

新興威脅情報(bào)工具和標(biāo)準(zhǔn)

有些威脅情報(bào)工具和標(biāo)準(zhǔn)沒有機(jī)會得以發(fā)展，下面是Gartner列出的一些旨在改進(jìn)這個(gè)難以捉摸的安全領(lǐng)域的新興威脅情報(bào)標(biāo)準(zhǔn)：

• CyboX(網(wǎng)絡(luò)可觀察表達(dá)式)是MITRE公司運(yùn)行的語言/模式，用以在操作領(lǐng)域可觀察到的事件或狀態(tài)屬性的規(guī)范、捕捉、特征描述和通信。

• OpenIOC(開放威脅指標(biāo))由MANDIANT公司創(chuàng)建，它是共享威脅情報(bào)的框架。它被定義為描述技術(shù)特征的XML架構(gòu)，這些技術(shù)特征可識別已知威脅、攻擊者的方法或其他威脅指標(biāo)。

• STIX(結(jié)構(gòu)化威脅信息表達(dá)式)是由MITRE開發(fā)的語言，它使用CyboX來以標(biāo)準(zhǔn)化和結(jié)構(gòu)化的方式來描述威脅信息。

• Taxii(可信自動交換指標(biāo)信息)也是由MITRE創(chuàng)建，它定義了一組符合和信息交換，以實(shí)現(xiàn)跨企業(yè)和產(chǎn)品或服務(wù)界限可操作威脅信息的共享。

這個(gè)領(lǐng)域的商業(yè)供應(yīng)商包括Cyveillance和DigitalStakeout。Matltego在這個(gè)領(lǐng)域也有一席之地，它是來自Paterva的工具，在信息安全顧問和滲透測試者中很受歡迎。

尋找合適的威脅情報(bào)工具

從理論上來看，使用上述的開源和商業(yè)工具獲取和共享威脅情報(bào)可以帶來很多好處。在理想的世界，所有企業(yè)、組織和政府機(jī)構(gòu)可以使用開放的威脅信息工具組來更好地打擊威脅。

然后出現(xiàn)的是信任問題。

誰可以訪問收集的有關(guān)企業(yè)網(wǎng)絡(luò)信息?企業(yè)可以信任哪些具體情報(bào)來源?企業(yè)是否愿意執(zhí)行第三方建議?企業(yè)將如何整合所有資源來創(chuàng)建可操作的數(shù)據(jù)泄露事故響應(yīng)和風(fēng)險(xiǎn)緩解策略及戰(zhàn)術(shù)?

現(xiàn)實(shí)情況是，大多數(shù)企業(yè)沒有時(shí)間、資金和精力來應(yīng)對威脅。這與國家抵御恐怖主義威脅沒有什么不同。企業(yè)和國家資源有限，而恐怖分子或其他攻擊者則總是會領(lǐng)先幾步。

不要盲目跳上威脅情報(bào)的行列;在網(wǎng)絡(luò)安全領(lǐng)域，營銷人員總是夸夸其談。企業(yè)應(yīng)該放眼更大的藍(lán)圖，并應(yīng)該問自己：

• 我們想要實(shí)現(xiàn)什么目標(biāo)?

也許企業(yè)需要獲取有關(guān)其企業(yè)或行業(yè)具體威脅情報(bào)的詳細(xì)信息，以盡量減少IT風(fēng)險(xiǎn)，或者只是為了滿足審核要求。企業(yè)應(yīng)該只選擇開源工具嗎?還是更應(yīng)該選擇商業(yè)供應(yīng)商的產(chǎn)品?很多人投資于安全技術(shù)而不去考慮他們?yōu)槭裁催@樣做。企業(yè)應(yīng)該明確自己的目標(biāo)。

• 現(xiàn)有網(wǎng)絡(luò)和安全技術(shù)是否應(yīng)該結(jié)合威脅情報(bào)工具，或者提供支持?

需要考慮的包括惡意軟件保護(hù)、網(wǎng)絡(luò)分析、社交媒體監(jiān)測、事件關(guān)聯(lián)和安全信息及事件管理系統(tǒng)，甚至還有企業(yè)品牌保護(hù)。

• 企業(yè)可以通過其現(xiàn)有供應(yīng)商訂閱威脅情報(bào)源嗎?

• 很多供應(yīng)商(例如思科和戴爾公司)整合了這種情報(bào)到其自己的產(chǎn)品和服務(wù)中。

• 誰來管理?每次企業(yè)部署新的網(wǎng)絡(luò)安全技術(shù)，都需要放棄部分目前運(yùn)行的東西或者使用新的資源。預(yù)算是否支持這一點(diǎn)?

• 企業(yè)如何衡量成功?

網(wǎng)絡(luò)威脅情報(bào)很好，但在某些時(shí)候，企業(yè)將需要得到一些有形的結(jié)果，除了從其現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)實(shí)現(xiàn)的結(jié)果。所有這些威脅情報(bào)資源的最終目標(biāo)是幫助企業(yè)做出更明智的決策，以盡量減少其信息風(fēng)險(xiǎn)。

筆者認(rèn)為，企業(yè)可以投資于世界上最好的情報(bào)信息，部署最好的技術(shù)來抵御威脅，并且獲得良好的審計(jì)結(jié)果，然而，其網(wǎng)絡(luò)仍可能非常容易受很多IT和安全管理程序錯(cuò)過的簡單漏洞的影響。

根據(jù)筆者的經(jīng)驗(yàn)，以及基于我們在年度數(shù)據(jù)泄露事故報(bào)告所看到的結(jié)果，大多數(shù)企業(yè)在了解更多威脅情報(bào)之前應(yīng)該更好地了解自身的安全漏洞。解決漏洞根源，那么發(fā)現(xiàn)這些漏洞的攻擊者就沒機(jī)會了。

盡管如此，威脅情報(bào)肯定有用武之地，特別是在高風(fēng)險(xiǎn)行業(yè)和聯(lián)邦政府機(jī)構(gòu)。

企業(yè)應(yīng)該看看CyboX、OpenIOS、STIX和Taxii，以及上述的商業(yè)產(chǎn)品。沒有威脅情報(bào)戰(zhàn)略的企業(yè)將會從中受益，即使是那些具有更成熟情報(bào)程序的企業(yè)也能夠受益——例如通過利用這些新興標(biāo)準(zhǔn)來結(jié)合現(xiàn)有的控制。

對于企業(yè)，重要的是在問題或攻擊發(fā)生之前，考慮威脅情報(bào)。很多人將威脅情報(bào)視為事后的考慮，或者供應(yīng)商或政府機(jī)構(gòu)正在處理的事情。這是不正確的。

這仍然是“無人地帶”，所以每個(gè)企業(yè)都需要自己探索。