什么是网络威胁情报?威胁情报也被称为网络安全情报,是有关针对企业网络、设备、应用程序和数据的犯罪活动的基于证据的信息。它能让企业更好地了解过去、现在和未来的网络危险。它包括机制、背景、影响、指标和以行动为导向的建议,涉及对信息资产的新出现或现有危害。
威胁情报信息可以指导企业确定哪些网络资产面临最大的攻击风险,以及攻击会对哪些方面造成最严重的影响。它为企业提供了所需的知识,使其了解需要保护哪些信息资产、保护这些资产的最佳手段以及最合适的缓解工具。威胁情报可提供准确、相关、可操作、及时和知情决策所需的背景信息。
作为一个概念,威胁情报很容易理解。然而,要收集所需信息并对其进行分析,则要困难得多。有可能危及或削弱企业信息技术的威胁数量庞大,令人防不胜防。
威胁情报收集的一些信息包括:你的漏洞是什么、谁在攻击你、他们的动机是什么、他们的能力是什么、他们会对你的信息资产造成什么损害,以及你应该注意哪些入侵迹象。
OpenText™ ArcSight™ 情报为您提供有关基础设施、财务和声誉所面临的最大威胁的信息。有了这些信息,您就可以建立防御机制,制定有效的风险缓解措施。
威胁情报工具从多个来源读取有关现有和新出现的威胁以及威胁行为者的原始数据。对数据进行分析和过滤后,就能生成可供自动安全解决方案使用的情报信息和报告。为什么这很重要?
威胁情报对于网络连接到全球网络的任何人来说都至关重要,而如今几乎每个组织都是如此。防火墙和其他安全系统固然重要,但它们并不能取代企业随时了解危及其信息系统的威胁的需要。当今网络攻击的多样性、复杂性和可扩展性使得威胁情报变得至关重要。
威胁情报不是一个由清单驱动的端到端流程。它是一个持续、循环和迭代的过程。组织永远不可能在某一时刻识别并消除所有潜在威胁。
威胁情报生命周期是对威胁环境不断变化的认识。避免一次攻击或危机并不意味着工作已经完成。您必须立即考虑、预测和准备下一次攻击或危机。新的差距和问题会不断出现,这就需要新的情报需求。
威胁情报生命周期包括以下步骤。
网络安全威胁和威胁情报可根据业务要求、情报来源和目标受众进行分类。在这方面,网络安全威胁和威胁情报有三种类型。
战略威胁情报
这些是广泛或长期的趋势或问题。审查战略威胁通常是高层非技术受众(如首席执行官)的专利。战略威胁情报可提供有关威胁能力和意图的鸟瞰图,以便做出明智决策和及时发出警告。
战略威胁情报的来源包括新闻媒体、专题专家、非政府组织政策文件、安全白皮书和研究报告。
战术威胁情报
战术威胁情报通过日常的情报事件和行动来处理危害指标,从而为威胁行动者的程序、技术和战术提供结构。这种情报面向技术性更强的受众,如安全专业人员、系统架构师和网络管理员。
战术威胁情报能让企业更深入地了解如何受到攻击,以及针对这些攻击的最佳防御措施。安全供应商和企业网络安全顾问的报告通常是战术威胁情报的主要来源。
行动威胁情报
行动威胁情报也被称为技术威胁情报。它非常专业,技术性很强。它涉及特定的攻击、恶意软件、工具或活动。
业务威胁情报的形式可以是取证威胁情报报告、威胁数据馈送或截获的威胁组织通信。它能让事件响应团队深入了解特定攻击的时间、性质和意图。
威胁检测有时与威胁情报交替使用,但两者的含义并不相同。威胁检测是对数据的被动监控,以发现潜在的安全问题。
其重点是在安全漏洞发生之前、期间或之后发现和识别威胁。威胁可能是恶意软件样本中的一个字符串、不寻常部分的网络连接、网络流量的意外激增或下降,或者是保存到临时目录中的可执行文件。
数据泄露检测工具分析用户、数据、应用程序和网络行为,以发现异常活动。入侵检测系统就是威胁检测工具的一个例子。
威胁检测系统通常使用来自H-ISAC 等各种社区的威胁情报来检测网络流量。它们部署自定义警报和事件通知。威胁检测工具可监控不同来源的日志,并针对不同环境进行定制。
因此,一旦检测到威胁,就会发出警报。通常情况下,人工会介入,查看威胁,确定发生了什么,并采取适当的措施。
当今的组织面临着攻击者的威胁,他们可能有数百万种方法来获得未经授权的访问并进行破坏。此外,威胁的规模、复杂程度和复杂性也在不断增长。这就意味着,最好假设攻击者会突破你和你的组织的防线。建立适当的物理和逻辑控制措施可以大大降低攻击成功的几率。
威胁情报对于及时有效地检测和应对威胁不可或缺,是了解和防范潜在网络安全威胁的必要因素。您的团队和组织对潜在威胁的了解越深入,就越有能力制定功能性应对措施并对其进行优先排序,以及快速检测威胁。
即使对小型企业来说,威胁情报也是一项艰巨而耗时的工作。幸运的是,市场上有许多威胁情报工具可以提供帮助。但并非所有工具都是一样的。作为网络安全领域公认的全球领导者,OpenText 可提供企业所需的正确工具,帮助企业快速生成有意义、可操作的动态威胁情报。
主动检测内部风险、新型攻击和高级持续性威胁
利用实时检测和本地 SOAR 加速威胁检测和响应
更智能、更简单的保护
简化日志管理和合规性,同时加快取证调查。利用大数据搜索、可视化和报告功能,追捕并击败威胁