威脅情報生命週期
威脅情報生命週期是一個迭代流程,包含收集、管理和部署威脅情報等六個不同階段。
規劃和確立方向
威脅情報的生命週期首先要評估可能的威脅,並確定重點關注的流程。
收集
一旦做出初步評估,威脅情報團隊就會將重點轉移到辨識和收集相關資料上。
處理和開發
在進行分析之前,威脅情報團隊會將收集到的資料轉換成統一的內聚系統。
分析
威脅情報團隊會分析資料,為組織內部的資安決策提供實用資訊。
散播
威脅情報團隊向主要利害關係人提出結論,並提供解決問題的建議。
意見反應
在研究團隊的提出的結論後,利害關係人會提出自己的想法。討論會反覆進行,直到得出令人滿意的決策為止。
威脅情報的五種類型
安全團隊和分析人員辨識出五種主要類型的威脅情報:戰術型、運作型、策略型、技術型和背景型。
常見問答
威脅情報專家大多從哪邊得知消息來源?
威脅情報團隊可以從各種線上來源收集資料,例如用來分享關於網路攻擊相關資訊,還有其他網安專家分享知識的資料庫。
可操作的威脅情報是什麼?
可操作的威脅情報指經分析、處理未經處理資料,並考慮資料的上下文情境。可以使用這些資料來做決策,並採取行動。
誰能從網路威脅情報受益?
威脅情報可為所有人帶來好處:
- 一般大眾:透過了解可能影響自己的著名威脅(比如零時差漏洞或惡意軟體),大眾可以採取措施修補自己的裝置或改變線上習慣。
- 資安專業人員:威脅情報對於有效保護組織的攻擊面至關重要。安全分析師使用威脅情報資料來找出可能的攻擊媒介,並制定組織的網路安全措施。
- 商業領袖:策略型威脅情報有助於管理階層了解企業面臨的威脅,並做出明智的決策。例如,部署新軟體可能會減少營運費用,但卻會使公司面臨更多的資料外洩情況。
- 政府官員:威脅情報有助於政府機構找出最有可能的威脅行為者,並加強關鍵基礎設施來抵禦未來的攻擊。
威脅情報的示例為何?
收集威脅情報的一個簡單示例是分析事件應對小組的報告。透過檢驗過去的事件,資安分析師可以找出常見模式,並制定有效的應對措施來抵禦未來的攻擊。