威胁情报的价值在于,可使企业安全领先黑客一步,甚至是多步。
网络安全是一项艰难的事业。每天,企业都要面临来自全球各地黑客的猛攻。身为一名网络安全从业人员,我们的任务不仅仅需要实时对抗这些攻击,还要在事发前缓解以预防威胁。而这就需要威胁情报。
无论选择哪种类型的威胁情报,总有那么一些良好实践可以遵循。甚至网上有一些免费可得的开源信息,可帮助企业预测并准备好应对未来的攻击。Recorded Future 公司的情报及策略副总裁,李维·甘德特,带来以下7条威胁情报通用规则。无论我们是否采用威胁情报平台,或者采用哪种平台,这都是我们应该做到的守则。
守则#1:谷歌一下
谷歌也许搜索不了深网或暗网,但其用处依然超乎想象之外。我们每天都在用谷歌,网络安全上自然也不应例外。每天都有无数闲话和情报产生,我们可以从中获取有用的东西。毕竟,大多数数据都产生自网上。你甚至可能会被仅使用公开Web搜索引擎就能保持领先的程度所惊到。用公开引擎替代专用威胁情报供应商是不现实的,但用用又没什么坏处不是?
守则#2:汲取别人的经验教训
显然,我们已经踏入了攻击和数据泄露的未知领域。不过,此类活动激增的正面信息是:它给了我们极好的机会从别人的案例中学习如何更好地应对威胁。网络安全当前显然正处于其“狂野西部”阶段,我们能从别的攻击和黑客活动中学到越多,我们自身的准备度就越高。
不仅仅要知道哪个企业又遭了数据泄露,还要知道细节。怎么发生的?第一条线索什么时候出现的?攻击者如何进入网络的?你对当前攻击所知越深入,你的团队对未来攻击的准备就越充分。
守则#3:查看Pastebin和GitHub
Pastebin和GitHub是很多安全团队的痛点。个人信息、口令,以及其他敏感信息经常在Pastebin上出现,毕竟人家是全球最流行文本共享网站之一嘛。
GitHub,作为全球最大代码仓库,也有其自身的问题。任何人都可以频繁上传源代码,其中就可能包括有盗来的专利数据,或者用来对你的系统进行漏洞利用的代码。监视这两个网站,这样你就能够采取合适的行动了。
守则#4:关注黑客聊天
很多大型攻击或数据泄露都是“说”出来的,事发前就多有讨论。比如,TalkTalk在2015年的重大数据泄露就有一大堆关于如何执行攻击的聊天讨论。其中一些聊天甚至就在公网上;一些则隐身深网和暗网。无论哪种方式,对黑客组织聊天内容投以关注,会让你的团队保持警惕,并对潜在安全问题准备的更为充分的。
守则#5:IOC是我们的朋友
团队应该总是重视攻击指标(IOC)。 地理上的异常、陌生的IP地址、异常活动或流量高峰,都意味着攻击的进行或数据泄露的发生。
人工处理或许一定程度上有效,但为跟上攻击的广度和深度,最好还是利用威胁情报提供商。有些提供商能够利用机器学习来实时标记事件,这就是阻断攻击进程和只能在事后清理的差别所在。
守则#6:知道自己的TTP
以攻击者的思维看问题;我们的网络弱点在哪儿?顶级攻击路线是什么?先自己把这些给分析清楚了,然后再找找对手的战术、技术和规程(TTP)。鉴于这些信息中很多都可以在网上免费找到,团队就能探知潜在攻击者的想法。通过对所有噩梦中的“假设”场景做好准备,大家晚上也能睡得更安心些,更有效地胜任工作。
守则#7:清楚任何事都有可能发生
攸关公司安全威胁,团队灵活性和开放思维尤其重要。虽然很多攻击者会用相似的模式和TTP进行攻击,有些却不会。好的经验法则是:不排除任何可能性!只要没有经过恰当的调查,无论多么异想天开的可能性都不排除。
本文转自d1net(转载)
