随着全球经济波动和不确定性的增加,网络安全预算无处不在。根据研究机构SANS在最近发布的《不确定期威胁搜索》报告中,11%的企业组织受到疫情影响,12%的企业组织完全停止了威胁搜索计划。
随着勒索软件攻击和商业电子邮件泄露的增加(BEC)欺诈日益猖獗,企业安全团队降低安全预算无异于雪上加霜。
安全团队缺钱少人,“巧妇难为无米之炊”这不是放弃威胁情报工作的原因,因为威胁情报正成为几乎所有网络安全堆栈技术的关键驱动力。下面,我们整理了一系列行业专家的建议,帮助那些缺乏安全预算的企业组织以20%的预算投资80%的威胁情报工作。
充分利用开源情报资源
目前,安全制造商的产品能力和开源社区项目的成熟度都在增长。如果将免费开源技术与分析师或研究人员的专业能力相结合,企业组织威胁情报团队将有一个低成本的可行替代方案。
开源资源的使用必须强调可行性,因为有很多免费的开源工具不那么容易使用或集成不良,团队中可能需要更熟练的成员来开发一些“运营胶水”。考虑到这一点,如果企业组织需要在有限的预算下进行威胁情报工作,可以遵守以下标准:
- 充分解释和与领导层就资源短缺达成共识。确保高层领导意识到企业工具会带来更高效的分析,需要投入人力来弥补一些软件,即服务 (SaaS) 安全产品和恶意软件沙箱的功能缺陷。
- 制定和实施更详细的安全工作计划。检查企业组织的目标,并确定实现目标所需的工具和数据。
- 充分利用企业内部资源,获取威胁情报数据。如果企业没有外部商业情报源,可以从自己的端点获取威胁情报数据,并反馈到在内部运行的威胁情报分析工具中。
优化安全团队的能力构成
企业组织威胁情报团队通常由不同背景的人组成。团队所需的技能包括网络基础知识、记者的研究和写作方法、程序员的自动化技能和恶意软件分析师的逆向工程技能。很少有人能在企业组织威胁情报团队中完成上述所有工作,因此在具体分工中应考虑每个团队成员的优势。
在所有工作中,最困难的是运行企业组织的知识管理系统,即威胁情报平台 (TIP)。企业组织可以在一定程度上摆脱电子表格,但最终会有太多的数据需要管理和特殊工具。例如,使用图像MISP、Hive或OpenCTI当这种开源工具包含许多活动组件时,企业组织需要一个具有基础设施管理和运营经验的团队成员。
如果团队中没有人种技能,企业可以加入社区MISP例如或其他免费的开放威胁共享平台通常提供一些关键的内容丰富功能。对于那些想要获得编程和轻量级基础设施体验的人来说,开源工具是一个很好的选择,因为它们相对容易设置,更困难的部分是如何将丰富的内容/工具与企业联系起来TIP在平台上,需要找到合适的人,使用专业技能和工具来完成这项工作。
目前有很多方法可以做到这一点,这取决于工具,比如IntelOwl和Cortex这种富化工具可以自动为多个开源提供功能TIP。但在部署这类重要的富化工具时,应注意以下事项:
- 企业需要腾出更多的人来寻求威胁,管理基础设施很快就会成为全职工作。因此,请尝试将工具所有权授予分析师,并在对工具有一定了解时保留两份备份。
- 在开发不属于这些开源项目领域的其他粘合任务时,请尝试在内部编制之前准备预开发解决方案。通常,企业会找到足够好的解决方案,快速配置工作流程,节省工程时间。
- 企业可以通过基础设施管理工具组织威胁情报团队Terraform)配置管理工具(如Ansible)实现程序编写和部署的自动化。这样,企业组织就有了维护基础设施的标准步骤。
- 回归经典。自1970年以来,人们通过命令行快速分析数据,使用小型一次性数据C程序可以在几分钟内分析TB等级数据;许多用于提取入侵指标、分析日志和munges可以使用数据的花哨工具“awk/sed”、“sort”和“uniq”工作流替代;熟练UNIX管理员知道如何加快数据处理。
一般来说,企业组织威胁情报团队可以通过许多不同的开源工具获得接近企业产品的服务。虽然这项工作将花费一定的人力和时间,特别是专业分析师,但这是保持威胁情报团队效率的必要成本。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章