财务压力落到业务主管肩头,削减成本似乎是生存所需。但人手不足和忽视关键业务运营不可取,尤其是在安全和情报方面。由于安全和情报投入与昂贵的技术和资源紧密相关,主管们很清楚自己必须衡量其他替代方案来推进运营和缓解风险。然而,情报产品不断输出的“噪声”模糊了情报的价值,让安全团队陷于无意义的警报中疲于奔命。安全主管不得不考虑采用托管服务来满足公司威胁情报所需。

托管服务向来在节省成本和灵活机动的同时还能提供良好的产出。因此,2008年到2010年期间托管服务采用率比此前几年增长约60%毫不令人意外。在这些经济困难时期里,尤其是对受监管行业而言,托管服务让安全团队得以在财务限制之下仍能夯实自身防御。托管服务提供商(MSP)以服务的形式提供技术、IT专业知识和资源,满足了企业的关键需求。通过与MSP签订可持续的合同,企业不仅升级了专业知识、技术和工具,还降低了前期成本和资本性支出(CAPEX)。

相对于网络安全的其他方面,威胁情报有时候会被认为是比较容易削减的部分。“防火墙外”情报收集缺口、缺乏适合公司的明确需求、特定于客户的情报不足,以及内部招募人才的困难,令情报工作举步维艰。此外,持续不断的数据噪声往往导致安全运营中心(SOC)等利益相关者被大量警报淹没。

而且,地缘政治冲突与经济动荡相互关联,尤其是在物理情报和网络情报领域。一家公司一周内必须处理的网络、物理和执行情报重点有些什么呢:

1. 公司面临的数字威胁:每周发现的漏洞

2. 社交媒体和技术论坛:讨论控制措施绕过方式的负面评论

3. 黑客论坛和暗网市场:日常发生的凭证被泄和账户接管

4. 高管面临的威胁:针对高管的仇恨语言

5. 内部人威胁和投诉:叫卖内部访问权的用户

6. 附属公司:针对公司附属公司的上述威胁

7. 员工面临的威胁:员工在社交媒体和内部论坛上遭遇的威胁

8. 外国影响力活动:公司在外国的资产暴露于敌对国家控制之下,知识产权盗窃暴露出公司在外国的资产

9. 对整个行业的威胁:针对竞争对手的相关攻击

安全团队若想照应情报领域这诸多威胁,就应该考虑采用威胁情报即服务。毕竟,威胁情报是任何安全策略的重要组成部分,但少有安全团队具备处理所面临全部威胁的专业知识或资源。

通过结合人员、流程和技术以服务的形式提供威胁情报,托管情报提供商填补了威胁情报领域的关键缺口,使企业能够将资源密集型任务交托给经验丰富的提供商。这类任务包括:

1. 生成特定于自家企业的情报

2. 提供分析师主导的情报

3. 利用多源采集和分析能力

4. 访问多语数据源和分析

5. 发现并了解对手心态(动机和预期结果)

6. 归因和揭露对手

7. 提供情报建议和对敌指南

8. 向所有利益相关者(法律、人力资源、工程等等)了解企业可利用的所有中断后果

很遗憾,网络威胁“情报”(CTI)供应商劫持了威胁情报的含义,令其真实价值遭到了质疑。虽然CTI市场超过100亿美元,但该市场通常由各种数据馈送组成,这些数据馈送采用广为使用的数据湖和人工智能(AI)及机器学习(ML)来检测已知威胁。尽管购买某个数据馈送解决某一特定痛点也不失为明智,但客户往往希望针对更多风险获得更大的投资回报。

若想抵御并主动缓解风险,你的团队需了解并紧跟情报生命周期,掌握应对企业风险的领域专业知识。从网络到欺诈,再到信任和安全,及至对关键人员、场所和资产的实体防护,你必须找到可扩展的威胁检测与响应方法,结合企业的威胁情报工作流程来交付安全成果。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。