已定義網路威脅情報
數位轉型會建立較大的資料資產,為網路犯罪開啟新的攻擊途徑。不良執行者的策略複雜且不斷演進,使得公司難以搶先一步化解新出現的威脅。網路威脅情報提供企業持續精簡防禦所需的資訊與功能。
網路威脅情報是一種資訊,可協助組織更好地防禦網路攻擊。它包含資料和分析,讓安全性小組全面了解威脅情況,讓他們能夠做出如何準備、偵測及回應攻擊的明智決策。擁有有關執行者行為、其工具和技術、其惡意探索、目標弱點以及新興威脅的專注資訊,可協助您的組織優先處理安全性工作。
網路威脅情報如何運作?
威脅情報平台會分析大量有關新興或現有威脅的原始資料,幫助您快速做出明智的網路安全決策。強大的威脅情報解決方案每天會對應全球訊號,分析這些訊號可協助您主動回應不斷變更的威脅情況。
網路威脅情報平台使用資料科學來篩選出假警報,並優先處理可能造成實際損害的風險。該資料來自:
- 開放原始碼情報 (OSINT)
- 威脅情報摘要
- 內部作業分析
簡單的威脅資料摘要可能會提供您最近威脅的資訊,但非結構化資料無法判斷哪些威脅最容易受到攻擊,或建議入侵後的行動計劃。該工作通常會由人類分析師進行。
威脅情報解決方案 - 特別是使用 AI、機器學習和進階功能的工具,例如安全性協調流程、自動化和回應 (SOAR) - 可自動化許多安全性功能,幫助您先發制人,而不只是回應攻擊。威脅情報也可讓安全性專業人員在攻擊顯示時自動執行補救動作,例如封鎖惡意檔案和 IP 位址。
為什麼威脅情報很重要?
威脅情報很重要,因為它可協助組織排定策略和戰略的優先順序,以進一步保護組織抵禦動態威脅。要持續了解新興威脅的資訊流並決定哪些是相關且可採取動作,是一項挑戰。
結合威脅情報與具有機器學習和自動化功能 (例如安全性資訊與事件管理 (SIEM)和 延伸偵測與回應 (XDR)) 的工具,可以透過以下方法增強您的威脅偵測和回應工作:
- 揭發您的潛在敵人及其動機。
- 公開攻擊者的策略、技術和程序 (TTP)。
- 顯示各種攻擊可能會影響貴公司的方式。
- 識別代表主動入侵警示的常見入侵指標 (IOC)。
- 建議您在受到攻擊時採取一組動作。
- 自動封鎖整個攻擊。
- 透過豐富的威脅資料為您更廣泛的安全策略和工作流程提供資訊。
給安全性小組的威脅情報權益
任何企業都可以使用威脅情報來改善其安全性態勢。它提供中小型企業所需的資訊,以策略性方式保護自己,防範勒索軟體和其他風險。但是,企業中的安全性小組和主管也可以從威脅情報獲得許多好處。
除了更充分利用人類技能和更快速的威脅回應之外,威脅情報解決方案為許多角色的使用者提供了新的效率:
安全性與 IT 分析師:達成並維護網路安全性。
網路威脅情報分析:分析組織的威脅,並開發深入解析,協助其他人了解哪些威脅較重要。
安全性作業中心 (SOC):取得內容以評估威脅,並將威脅與其他活動相互關聯,以判斷最佳且最有效的回應。
電腦安全性事件回應團隊 (CSIRT):深入了解弱點、利用這些弱點,以及了解攻擊者入侵系統的方法。
高階主管:了解哪些威脅對組織最關鍵,以便向 CEO 和董事會提出以資料為基礎的預算建議。
威脅情報的類型
威脅情報可以分成四個類型。利用它們幫助您決定哪些人需要接收哪種類型的資訊:
策略性
策略性威脅情報是高層級分析,適用於與整體業務有關的非技術項目關係人,例如 C 套件高階主管、IT 管理和董事會。從長遠角度並在廣泛的背景下傳達這類資訊。這些對象必須管理整體風險,例如一般威脅情況如何演變、業務決策可能會如何引入新的弱點、進階技術能如何協助企業以較低的成本降低威脅,或外泄的潛在財務與營運影響。
戰術性
戰術性威脅情報是網路安全性專家需要立即採取行動來緩解威脅的資訊。它包含最新的 TTP 趨勢和 IOC 的技術資訊,通常是由 IT 服務經理、SOC 中心員工和架構設計師所使用。使用這種類型的情報來做出有關安全性控制的決策,並建立主動的防禦策略。這類資訊總是在變化,而且可以自動化以協助安全性小組維持最大的靈活度。
作業性
作業性威脅情報是特定威脅和營銷活動的知識。它針對事件回應小組提供有關攻擊者身分識別、動機和方法的專精資訊。讓貴組織的安全性專業人員能夠利用網路威脅情報平台更有效率地接收這類情報,該平台可自動化資料收集,並根據需要翻譯外文來源。
技術性
技術性威脅情報與作業性情報關係密切,是攻擊即將發生的徵兆,例如 IOC。使用威脅情報平台與 AI 自動掃描這類已知指標,包括網路釣魚電子郵件內容、惡意 IP 位址或惡意代碼的特定執行。SOC 和事件回應小組可以快速回應此資訊,並防止對您的業務造成損害。
威脅情報使用案例
部署網路威脅情報平台,以各種方式提高安全性作業的效率。
管理警示
警示疲勞是 SOC 團隊的嚴重問題。他們每天處理大量的警示,而許多是誤判為真的警示。將所有資料排序是壓力大且耗時的工作,而大量的負荷可能會造成安全性小組成員錯過重要威脅。使用威脅情報平台減輕這些問題,協助負擔過重的分析師排定警示和事件的優先順序。
加速事件回應
網路威脅情報工具允許事件回應小組做出明智的決定,了解如何以最快且最完整的方式遏制並補救威脅,以讓組織回到安全的狀態。
提升安全性態勢
依賴網路威脅情報平台,根據您的實際風險,針對安全性投資做出短期和長期的決策。強大的威脅情報平台可協助您建立風險模型,並報告貴組織的所有項目關係人您企業的獨特弱點。取得安全性態勢的完整資訊,協助貴企業決定要投入其時間和資源的地方。
防止詐騙
使用威脅情報工具匯總全球犯罪社群和網站的資料。威脅情報提供黑暗網站的深入解析,並貼上網站,顯示犯罪者在何處出售大量入侵的使用者名稱、密碼和銀行資料的快取。良好的網路威脅情報平台會全天候監視這些來源,並為您提供有關最新開發的實時警示。
尋找正確的威脅情報平台
威脅情報解決方案可提供威脅情況的相關深入解析,以改善您的安全性態勢。選擇一個平台:
- 與現有系統整合,並提供多平台和多雲端支援,以確保您保護整個 IT 資產。
- 使用自動化來改善安全性小組收到的警示和建議品質。
- 有工具以易於理解的視覺格式呈現資料,好讓您可以與全公司的專案關係人分享並討論您的安全性態勢。
利用 Microsoft 威脅情報來防護企業抵禦勒索軟體等威脅,此情報每天透過獨特的遙測技術包含超過 65 兆個訊號,包括其產品系列,以及持續更新的威脅情況對應。當需要更多內容時,Microsoft Defender 威脅情報會使用最新的 AI 和機器學習,為安全性小組提供方向。
常見問題集
-
威脅情報的一些範例包括攻擊者識別碼、TTP、一般 IOC、惡意 IP 位址,以及許多其他已知和新興網路威脅的指標。威脅情報軟體可以收集並分析這些指標,並自動封鎖攻擊或警示安全性小組以採取進一步動作。
-
威脅資料摘要是讓網路威脅情報平台生效的重要元素,它可提供全域威脅環境的完整視圖、自動化風險優先順序的進階資料分析、用於識別常見 IOC 的監視工具,以及自動產生警示,讓安全性小組可以快速補救入侵。
-
威脅情報收集自大量有關新興或現有威脅的原始資料。這是掃描網際網路和黑暗網站的結果,以取得惡意執行者及其策略,以及已發生外洩的內部 IOC 的資訊。可信任的威脅資料摘要會共用資訊,例如攻擊簽章、錯誤的 IP 位址和網域名稱,以及攻擊者的 TTP。威脅情報平台可以使用 AI 和機器學習來了解所有這些原始資料。
-
威脅情報平台會分析來自網際網路的數十兆個訊號,並將它們對應以告訴您哪些威脅對您的業務存在嚴重風險。其工作是揭露敵人及其方法、顯示威脅可能會影響您公司的不同方式、自動封鎖整個攻擊、識別發出主動入侵訊號的常見 IOC,以及建議在您需要介入時可採取的動作。
-
選擇一個既可以搜捕問題又可以自動建議要採取的動作之威脅情報平台,以強化您的安全性態勢。最好選擇可跨雲端和平台運作的軟體、與現有產品整合,以及具有容易使用的視覺工具。
關注 Microsoft 安全性