什麼是網路威脅情報?威脅情報也稱為網路安全情報,是針對組織網路、設備、應用程式和數據的犯罪活動的循證資訊。它使企業能夠更好地了解過去、當前和未來的網路危險。它包括機制、背景、影響、指標和關於資訊資產新出現或現有危害的面向行動的建議。
Threat 情報資訊可以引導企業確定哪些網路資產受到攻擊的風險最大,以及攻擊影響最嚴重的地方。它為企業提供了所需的知識,以了解要保護哪些資訊資產、保護這些資產的最佳方法以及最合適的緩解工具。 Threat 情報提供了準確、相關、可操作、及時和知情決策所需的背景。
作為一個概念,威脅情報很容易理解。然而,收集所需的資訊並對其進行分析要具有挑戰性得多。大量可能危及或削弱企業資訊技術的威脅可能會讓人感到不知所措。
收集的一些上下文威脅情報包括您的漏洞是什麼、誰在攻擊您、他們的動機是什麼、他們的能力是什麼、他們可能對您的資訊資產造成什麼損害,以及您應該注意哪些入侵指標。
OpenText™ ArcSight™ Intelligence為您提供有關對您的基礎架構、財務和聲譽最嚴重威脅的資訊。這樣,您就可以建立有效的防禦機制並設定風險緩解措施。
Threat 情報工具從多個來源讀取有關現有和新興威脅以及威脅行為者的原始資料。對資料進行分析和過濾,以開發可供自動化安全解決方案使用的情報來源和報告。為什麼這很重要?
Threat 對於任何網路連接到萬維網的人來說,智慧都是至關重要的,而當今幾乎每個組織都是如此。防火牆和其他安全系統很重要,但它們並不能取代企業及時應對危及其資訊系統的威脅的需要。當今網路攻擊的多樣性、複雜性和可擴展性使得威脅情報變得至關重要。
Threat 情報不是由清單驅動的端到端流程。它是連續的、循環的、迭代的。組織永遠不會在某個時間點識別並消除所有潛在威脅。
威脅情報生命週期是對威脅環境不斷變化的性質的認識。避免一次攻擊或危機並不意味著工作已經完成。您必須立即考慮、預測併為下一個做好準備。新的差距和問題將繼續出現,需要新的情報要求。
威脅情報生命週期包括以下步驟。
網路安全威脅和威脅情報可以根據業務需求、情報來源和目標受眾進行分類。在這方面,有三種類型的網路安全威脅和威脅情報。
戰略威脅情報
這些是廣泛或長期的趨勢或問題。對戰略威脅的審查通常是高級非技術受眾(如最高管理層)的專利。戰略威脅情報提供了威脅的能力和意圖的鳥瞰圖,從而可以做出明智的決策並及時發出警告。
戰略威脅情報的來源包括新聞媒體、主題專家、非政府組織政策檔、安全白皮書和研究報告。
戰術威脅情報
戰術威脅情報通過日常情報事件和操作處理入侵指標,為威脅參與者的程式、技術和戰術提供結構。它是面向技術性更強的受眾的智慧,例如安全專業人員、系統架構師和網路管理員。
戰術威脅情報使組織能夠更深入地了解他們如何受到攻擊,以及針對這些攻擊的最佳防禦措施。來自安全供應商和企業網路安全顧問的報告通常是戰術威脅情報的主要來源。
運營威脅情報
操作威脅情報也稱為技術威脅情報。它非常專業,技術含量很高。它處理特定的攻擊、惡意軟體、工具或活動。
操作威脅情報可以採用取證威脅情報報告、威脅數據源或截獲的威脅組通信的形式。它使事件回應團隊能夠深入瞭解特定攻擊的時間、性質和意圖。
Threat 偵測這個術語有時與威脅情報互換使用,但兩者的含義並不相同。 Threat 檢測是對數據的被動監控,以發現潛在的安全問題。
它專注於在安全漏洞之前、期間或之後發現和識別威脅。威脅可能是惡意軟體範例中的字串、異常部件上的網路連接、網路流量意外激增或下降,或者是保存到臨時目錄的可執行檔。
數據洩露檢測工具可分析使用者、數據、應用程式和網路行為的異常活動。入侵檢測系統是威脅檢測工具的一個例子。
Threat 偵測系統通常使用來自H-ISAC等廣泛社區的威脅情報來檢查網路流量。他們部署自訂警報和事件通知。 Threat 檢測工具可監控不同來源的日誌並針對不同的環境進行客製化。
因此,當檢測到威脅時,會發出警報。通常,人類會進行干預,審查威脅,確定正在發生的事情,並採取適當的行動。
當今的組織面臨攻擊者的風險,這些攻擊者可能有數百萬種方式來獲得未經授權的訪問並造成嚴重破壞。此外,威脅的規模、複雜性和複雜性也在不斷增長。這意味著,儘管你和你的組織盡了最大努力,但最好假設攻擊者會突破。建立適當的物理和邏輯控制對減少成功攻擊的機會大有説明。
Threat 情報對於及時有效的威脅偵測和回應是不可或缺的,是理解和防範潛在網路安全威脅的必要要素。您的團隊和組織對潛在威脅的了解越深入,您就越能更好地制定功能響應並確定其優先順序並快速檢測威脅。
Threat 即使對於小型企業來說,情報也是一項艱鉅且耗時的工作。幸運的是,市場上有許多威脅情報工具可以提供協助。但並非所有人都是天生平等的。被公認為網路安全領域的全球領導者, OpenText 提供您的組織快速產生有意義、可操作且動態的威脅情報所需的正確工具。
主動檢測內部風險、新型攻擊和高級持續性威脅
通過即時檢測和本機 SOAR 加速威脅檢測和回應
更智慧、更簡單的保護
簡化日誌管理和合規性,同時加快取證調查。通過大數據搜索、可視化和報告來搜尋和擊敗威脅