什麼是威脅智慧?
威脅智慧將各種內部與外部來源的資料結合起來,以便了解企業面臨的現有及新新鮮的網路風險,以及增強防禦策略。一項成功的威脅智慧計畫,能夠對威脅資訊進行三角定位,依據業務風險來篩選威脅及設定優先級,然後將摘要饋送至內部系統與安全控制機制中。威脅智慧是成熟的網路安全計畫的重要元件。
威脅智慧為何非常重要?
網路威脅智慧可揭示組織目前面臨及新出現的威脅。組織藉由了解對手的戰術、技術與程序,能夠更高效地在安全事件發生之前、期間及之後應對威脅。
藉助威脅智慧計畫,組織能夠更高效地決定以何種方式來解決漏洞、執行測試策略、制定事件回應計畫,以及在發生事件時確保業務持續性。威脅智慧團隊能夠與網路風險團隊及安全團隊協同工作。
什麼是威脅智慧系統?
威脅智慧系統是一個中央樞紐,負責收集、分析網路安全資料,以及生成相關洞察。這些系統可協助追蹤安全事件,確定有哪些威脅執行者,以及向安全團隊簡要說明應對方法。他們往往會利用網路威脅智慧 (CTI),CTI 是內部與外部資料來源的集合,有助於為系統提供關聯內容。
威脅智慧系統是全方位安全軟體解決方案的組成部分。AWS Security Hub 等解決方案往往能整合威脅智慧生命週期活動,以便進行集中式管理。
威脅智慧生命週期有哪些元件?
威脅智慧生命週期是一個持續性程序,要求定期進行更新與審查。
下面列出了威脅智慧生命週期的主要階段。
環境適用範圍
部署威脅智慧計畫之前,組織必須定義其系統、資料、網路、服務、使用者,以及其他組織資產。組織應依營運關鍵程度與資料敏感程度,來對組織資產分類。藉由了解組織環境的適用範圍,可了解與企業相關的威脅有哪些,哪些資產可能會成為更大的目標。
威脅資料收集
範圍界定完成後,網路威脅智慧生命週期的後續步驟是,將眾多資料來源整理成一個中央真實資料來源。威脅智慧系統將擷取內部安全資料、系統報告,以及即時開放原始碼與供應商分發的威脅智慧摘要、漏洞資料庫,還有社群媒體與暗網監控等外部來源。
在這個階段,目標是儘可能收集威脅資料,以便取得全方位資訊。此階段的資料擷取是高度自動化、持續進行的,並且不按業務適用範圍進行篩選。
資料處理
資料收集完成後,組織隨後會對其進行篩選、結構化、標準化、擴充及轉換處理,讓其變得實用。非結構化資料被轉換為機器可讀取格式,同時結構化資料會被清洗,以便改善資料品質及加入中繼資料標籤。冗餘資料及超出範圍的資料將被移除。處理程序應儘可能自動執行。
分析
在分析階段,威脅智慧資料會被轉化為可供企業使用的可行洞察。自動化系統開始在任何處理的資料中確認模式與關係,並查找網路安全團隊或做進一步調查的異常狀況、差異項,或者結果。
在這個階段,資料分析師可採用各種各樣的進階技術,比如運用機器學習及預測性建模,以便繪製特定的威脅指標。這些程序皆可手動及自動化處理,其設計旨在為安全團隊提供相關、實用的洞察,從而指引網路防禦策略。
報告
報告可將威脅智慧分析結果,傳達給業務利害關係人及相關團隊。依據受眾可客製化報告,可包括有限制的儀表板、文字檔案、簡報,或者其他形式的通訊。
報告階段通常採用自動化,且威脅智慧系統可生成報告,以及將報告分發給任何必要的人員。若出現更大的安全威脅,可能需要進行人工報告。
此外,團隊還可向更廣泛的社群報告新的及不明的威脅,以便其他組織可將該資訊整合進自己的系統中。
監控與調整
威脅智慧系統能夠監控可能存在的安全問題,追蹤入侵指標,以及為安全團隊提供支援協助。在全天候有人值守的安全營運中心 (SOC),威脅智慧系統是其中的一個重要軟體。
在分析期間,團隊可追蹤與潛在安全事件相關的入侵指標 (IOC),以便制定事件回應計畫及執行手冊,部署全新或調整後的安全控制措施,做出系統架構變更,並更新業務風險。憑藉此明智的應對措施,能夠確保公司的安全狀況不受損害。
團隊必須從非預期安全事件與新資訊中吸取教訓,然後不斷迭代及改善先前的表現。安全團隊可對安全工具的效能進行審查,對回應做出評論,以及標記不一致之處,以便協助威脅智慧軟體不斷做出改善。
威脅智慧計畫的特徵有哪些?
網路威脅智慧計畫的特徵視乎業務環境的複雜度、敏感資料要求,以及合規義務而定。下面列出了威脅智慧計畫一些最常見的特徵。
資料來源
資料來源是指威脅智慧平台賴以提供洞察的所有資訊來源。這些威脅智慧服務是威脅智慧計畫的核心元件。
外部資料來源包括即時開放原始碼 (OSINT)、公共威脅來源,以及政府網路安全機構所提供的資訊。內部資料來源包括防火牆日誌、使用者存取行為、入侵偵測系統 (IDS) 提醒、端點日誌,以及雲端服務遙測資料。
技術
威脅智慧充分利用多種協同運作的技術,以便交付資料、分析資訊,以及針對安全團隊提供切實可行的洞察。舉例來說,一些威脅智慧軟體可協助對資料進行攝取及整理,以及在安全團隊需要執行操作時直接與其分享洞察。
分析技術對於發現資料中的模式與異常狀況至關重要,這有助於標記可能會發生的安全事件。網路威脅智慧的分析功能是指團隊用於增強資料的清晰度、精確度,以及深度的任何技術。其中包括機器學習分析、預測性演算法,以及行為分析。
安全資訊與事件管理 (SIEM) 系統能夠將內部安全日誌資料與事件資訊關聯起來,從而提供有關對新出現的威脅如何影響您的業務的即時洞察。此外,某些公司還會將應用程式警告嵌入他們的產品中,開發人員在處理某些方面時,這會為他們提供有關潛在錯誤的更多關聯內容資訊。
架構
架構中納入威脅智慧,可為組織提供標準化結構。這些架構備受重視,並且會定期更新,以便組織提供描述性及規範性指引。重點關注威脅智慧的網路安全架構包括 MITRE ATT&CK 架構及 Cyber Kill Chain。這兩個架構皆採用了處理戰術、標準向量,以及入侵指標的方法。
活動
網路威脅智慧系統透過多種活動,來升成洞察及改善自身功能。舉例來說,這些系統可執行即時風險評估,透過更新來修補已知漏洞,藉助意見回饋對事件做出回應,以及向網路安全專家提供關於他們應優先處理哪些事件的洞察。
威脅智慧有哪些不同的類型?
安全專業人員可利用四種主要的網路威脅智慧類型。
策略性威脅智慧
策略性威脅智慧是指系統所收集的更為廣泛的威脅智慧資訊,包括地緣政治資料、經濟資料,以及其他非技術類智慧資訊,可用於建置潛在安全事件的關聯內容檔案。這種非技術類、策略性的威脅智慧提供了寶貴的洞察,有助於了解更為廣泛的安全漏洞及其發展。
戰術性威脅智慧
戰術性威脅智慧是指收集與對手戰術、技術與程序 (TTP) 相關的資訊,包括進階的持續性威脅 (APT) 中的戰術、技術與程序 (TTP)。整個產業的智慧資料會透過公共安全饋送來分享。這些資訊讓安全專業人員能夠了解特定攻擊的典型行為、使用的攻擊手段,以及在任何指定安全事件中發生的操作順序。
技術性威脅智慧
技術性威脅智慧是指機器確認的任何入侵跡象。這些入侵指標 (IOC),比如存在惡意 IP 位址、非預期的安全 URL、防火牆回應,或者系統預期運作值的突然變化,都將被標記出來,以供團隊進一步調查。
營運性威脅智慧
營運性威脅智慧是指戰術性資訊與技術性資訊相結合的綜合智慧形式。這種形式的營運智慧會提供對整個產業知識的洞察,比如某種特定形式的勒索軟體,或者惡意軟體在某些公司或區域變得日益常見。營運性威脅智慧讓公司能夠發生可能的安全事件發生之前,採取措施來加以緩解。
AWS 如何為您的威脅智慧計畫提供支援?
AWS Cloud Security 藉助專門設計的威脅智慧整合、自動化及視覺化,為確保您的雲端環境安全提供助力。AWS Cloud Security 可協助確認可能存在的風險,藉由採取資料防護措施可為基礎結構提供保護,以及監控安全狀況以便發生非預期事件,甚至針對事件直接做出回應。
AWS Security Hub 優先處理關鍵安全問題,並協助大規模回應以保護環境。該服務可提供威脅智慧,藉由關聯訊號並充實內容,將其轉化為可行動的洞察,以偵測關鍵問題並簡化回應流程。
即刻建立一個免費帳戶,開始在 AWS 上使用威脅智慧。