欧盟网络与信息安全局(简称ENISA)发布首份网络威胁情报平台(TIP)综合研究报告。
威胁情报平台(TIP):
是一个可以支持整个安全团队的平台,从CSO/CISO到安全威胁分析团队,支持执行日常事件响应、网络防御和威胁分析。成熟的 TIP 用于日常运营,支持对攻击的阻止和处理,支持战略决策和流程改进,它可以帮助实现企业威胁情报计划对威胁情报进行全生命周期的管理。威胁情报的生命周期包括:威胁情报需求分析、收集、分析、使用。
考虑到信息交换格式和工具仍然是网络安全圈(尤其是事件响应者)的主要关注事项,ENISA 分析了现有 TIP 平台和解决方案的局限性及一些关键机会。下图为现有的 TIP 解决方案:
随着信息安全管理日益成为每家现代企业的关键组成部分,态势感知和安全数据的需求在不断增长。ENISA 邀请了专家对现有工具、实践和 TIP 学术文献进行研究分析得出这份报告,并提出了一系列切实可行的建议,以帮助组织机构等解决并克服现有的 TIP局限性。
此外,报告还详细介绍了这些平台的用户、TIP 的主要功能以及全球不同团队(例如 CTI 团队、安全运维中心 SOC、计算机安全事件响应小组 CSIRT/CERT、信息共享与分析中心 ISAC 等)所使用的 TIP 现状。
ENISA 提供的建议:
ENISA 建议组织机构在开发和部署 TIP 解决方案之前将重点放在具体要求和需求上。ENISA 还强烈建议组织机构检查其担任的不同网络情报活动是否由技术平台和系统提供支持。
报告中还鼓励组织机构在重大资金投入之前,先投入时间通过开源 TIP 进行PoC 测试,并了解此类系统的优势。ENISA 鼓励 TIP 解决方案的开发人员提供有效的威胁分类和相关性评估,将重点更多地放在提升 TIP 分析能力上。此外,报告指出 TIP 应具有更加灵活可用的信任建模功能,鼓励 TIP 开发人员和提供商向威胁信息消费者提供通知功能,以防信息来源提供的共享信息不够准确,或缺乏可信度。
ENISA 呼吁研究界和学术界继续探索 TIP 的优势,以及这些平台进一步趋于成熟的方式。
下图为理想的 TIP 模式:
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。