本文来自 企业网D1net公众号
ESG公司的首席分析师兼研究员、网络安全专家Jon Oltsik在其发表的文章中介绍了成熟的网络威胁情报计划具备的一些特征。根据ESG公司的研究,成熟的网络威胁情报计划的首要属性包括向广大受众传播报告,分析大量威胁数据,以及网络威胁情报与许多安全技术的集成。
遗憾的是,大多数网络威胁情报项目还远未成熟,但随着大多数企业对网络威胁情报项目的投资,这种情况可能在未来几年内发生变化。63%的企业计划在未来12到18个月内“显著”增加网络威胁情报项目的支出,另外34%的企业计划“略微”增加网络威胁情报项目的支出。
为什么增加网络威胁情报项目支出?因为网络威胁情报可以提供技术和业务利益。该研究揭示了对网络威胁情报项目影响最主要的一些因素,包括需要了解并购公司面临的威胁,黑客有针对性的攻击威胁,以及需要了解网络攻击者的战术、技术和程序(TTPs),以便企业能够加强其安全防御。
为什么首席信息安全官会在网络威胁情报上投入更多资金
很多首席信息安全官认为,进一步投资威胁情报项目可以减轻网络风险,同时改善威胁预防和检测。在接下来的12到24个月里:
- 30%的企业将优先考虑与内部团队更方便地共享威胁情报报告。这是朝着正确方向迈出的一步,因为威胁情报的价值超出了安全运营中心(SOC)的警戒范围。首席信息安全官可以使用网络威胁情报来确定投资的优先级并验证安全控制,业务经理可以通过更彻底的风险管理决策来平衡数字化转型计划。网络威胁情报传播和消费者反馈是威胁情报生命周期的关键成熟阶段。
- 27%的企业将优先投资数字风险保护(DRP)服务。随着企业扩大其数字足迹,他们需要更好地了解随之而来的风险。数字风险保护(DRP)服务通过监控诸如在线数据泄露、品牌声誉、攻击面漏洞以及围绕攻击计划的深层/暗网聊天等内容来提供这种可见性。
- 27%的企业将优先考虑与其他安全技术的集成。除了端点、电子邮件和网络边界之外,首席信息安全官还希望网络威胁情报与云安全工具、安全信息和事件管理(SIEM)、扩展检测和响应(XDR)解决方案以及安全服务边缘(SSE)工具(例如安全web网关和云访问服务代理)集成。更多的集成意味着阻止更多的入侵指标(IoC),并实施更全面的威胁知情防御。
- 27%的企业将优先采购威胁情报平台(TIP),用于威胁情报收集、处理、分析和共享。威胁情报平台(TIP)曾经是大型企业的专属领域,但如今正在慢慢向市场下移。预计这些支出中的大部分将最终用于Flashpoint、Mandiant、Rapid7(Intsights)、Recorded Future、Reliaquest(Digital Shadows)、SOCRadar和ZeroFox等服务提供商。思科、CrowdStrike、IBM、微软和Palo Alto Networks等大企业也将分得一杯羹。
- 26%的企业将优先开发更正式的网络威胁情报项目。很多首席信息安全官意识到,他们再也不能依靠兼职威胁分析师审查的一些开源威胁情报了。与其相反,他们需要人员配置和流程来执行完整的网络威胁情报生命周期。虽然首席信息安全官把自己的内部事务处理得井井有条,但大多数将依赖于服务提供商来完成大部分实际工作。
正如著名的《孙子兵法》所说:“知己知彼,百战不殆。”拥有成熟网络威胁情报程序的企业需要了解自己,了解对手,然后利用这些知识优化网络风险缓解和安全防御。
