威胁情报自出现以来,已经被越来越多的企业所采用,那么企业的威胁情报能力如何评估呢?相信不少应用了威胁情报的企业也想知道自己的现状,以便指定恰当的目标。

从应用能力看,企业对威胁情报的应用分为消费级、融合级、聚合级、优化级和自适应级。以下让我们分别来看一下处于各个级别的企业具有的特征。

消费级

处于消费级的企业购买商业威胁情报,将商业威胁情报应用于威胁发现设备(IDS)、威胁阻断设备(防火墙、WAF)或威胁发现与阻断的组合应用(恶意软件查杀工具,利用HASH类情报),处于该阶段的威胁情报应用特征是用于设备集成。由于这类设备通常对效率有较强的要求,因此采用威胁情报的数量不能太多,否则将会带来设备的性能下降从而影响用户体验。对处于该阶段的用户建议是采用高信誉值、高更新率的威胁情报源。

融合级

处于该阶段的用户,能够将威胁情报与企业实况相结合,是做到“知己知彼”的起点。例如:企业能够对信息资产以及信息资产的弱点(漏洞、弱配置)进行发现,结合外部威胁(基于POC的漏洞情报)。处于融合级的企业特征是加入自有情报,使得威胁情报的应用更加丰富和灵活。处于融合级的企业通常已经部署SOC/SEIM,或者是态势感知系统,他们能够对网络安全进行高质量的管理。处于融合级的企业,通常对威胁情报的数量也比较关注,他们认为即使是低信誉值的情报,也能够为网络安全分析与决策带来价值。

聚合级

处于这一级别的企业能够对引入的多源商业情报进行聚合,并具有情报质量分析和管理能力,对情报源进行综合质量评估。由于聚合级引入的是多个高质量威胁情报源,因此对威胁情报的分析能力要求处于相对较初级阶段。处于聚合级的企业特征是对网络安全高度重视,他们认为威胁的潜在存在是难以接受的。

优化级

处于这一级别的企业,不仅能够对优质的多源情报进行聚合,同时具备对开源情报进行收集、分析和应用能力,由于开源情报中存在的噪音数据远高于商业情报,因此处于优化级威胁情报能力的企业必须能够有效消除噪音,降低误判,尤其是漏判的概率。处于优化级的企业特征是具有优良的情报分析团队。

自适应级

处于这一级别的企业,其威胁情报应用能力可以做到自动化闭环应用,即威胁情报质量高度可信,可以与安全设备互动,形成无需人工干涉的情报生产、情报消费的闭环,情报生产到消费的时间周期大大缩短。处于这一阶段的威胁情报特征是闭环、低干涉、低延时、高质量。

纵然威胁情报的消费级、融合级、聚合级、优化级和自适应级每一级能力都有所上升,然而笔者认为企业在实践应用中,选择适合自己的等级目标尤为重要,这可以让企业在预期的费效比上构建自己的威胁情报能力,是为“量体裁衣”。

声明:本文来自ISACA,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。