跳到主体内容

要进行事件预防,威胁情报是必备的,威胁情报同时也是企业需要投资的重要领域。与此同时,这个新的专业领域对IT安全团队来说仍然具有挑战性,因为它需要不断的追踪、分析和解析大量零散的数据,此外还需要定期重新评估和调整恰当的技能、数据来源和工具。

这项新研究评估了具有成熟的网络安全功能的公司的威胁情报实践[1],结果显示,尽管83%的决策者认识到威胁情报在建立一个有抗风险能力的网络安全计划中的关键作用,并计划在该领域投资,但对于所有的公司来说,威胁情报仍然是一个具有挑战性的专业领域。

三分之二的IT安全领导者(64%)表示,它们的公司正在努力使其威胁情报计划与风险管理计划保持一致,62%的公司在实施测量程序以跟踪威胁情报有效性方面面临困难。其他主要担忧还包括提高对威胁形势的了解、优先考虑多个利益相关者对信息的要求以及确定数据的差距。

为了应对这些挑战,改善他们的威胁情报计划,IT安全决策者计划在内部实施一系列措施并利用供应商提供的服务。受调查人员认为,依靠外部供应商来解决主要的威胁情报需求更为高效。十分之六(61%)的受调查者支持处理原始情报信息,60%的人支持收集人类情报,59%的人支持将数据馈送与其他安全工具集成。但是,公司仍然优先考虑发展内部能力来选择和汇总数据源。

 


使用供应商支持的最大的两个优势是更快的威胁检测、补救和响应(56%)以及通过自动报告流程提高效率(52%)。约一半的受调查者还表示,外部解决方案能够减少违规事件的数量,降低相关的成本。

“威胁情报计划加强了公司的防御能力,通过提供相关和适用的见解,提高了企业对于威胁形势的可见性。为威胁情报的处理和分析提供便利,能够让企业做出及时和充分知情的决定。但是,评估威胁情报服务并在无数可用的市场选择中进行选择是IT安全团队面临的另一个挑战,”卡巴斯基企业产品营销兼产品营销负责人Artem Karasev评论说:“我们在威胁研究方面的经验表明,虽然几乎没有完全适用于所有组织的标准,但选择外部威胁情报来源的指导原则应该是质量而不是数量。”

卡巴斯基建议在评估外部威胁情报解决方案时,特别注意以下几点:

  • 供应商使用的信息来源:聚合世界各地信息的供应商可以提供对实际威胁的更多可见性,并有效地将分散的活动联系起来。
  • 提供背景信息的能力:背景数据有助于揭示“更大的图景”,进一步验证和支持数据的广泛使用。关系背景信息,例如与检测到的IP地址相关的域名或下载文件的URL等,能够通过发现网络中新获取的相关入侵指标,促进事件调查并支持更好的事件“范围界定”。
  • 与现有解决方案的兼容性:检查供应商的交付方法和集成系统,确保将威胁情报顺利集成到现有的安全操作中。

  • 供应商的经验:在威胁调查方面有良好的记录,确保所提出的解决方案的有效性

 


有关成熟的威胁情报以建立弹性网络安全计划的研究报告全文请参见这里



[1] 2021年7月,卡巴斯基委托Forrester咨询公司评估拥有成熟IT安全团队的公司的威胁情报实践。为了探索这一主题,Forrester调查了678名拥有安全运营中心(SOC)或专门IT安全部门的公司的IT安全决策者。

独立研究显示:IT安全领导者在威胁情报方面主要依赖外部支持

根据Forrester咨询公司代表卡巴斯基公司进行的一项委托调查,寻求提升内部威胁情报(TI)计划的IT安全领导者更愿意将八个主要威胁情报(TI)方面中的五个委托给外部供应商,而不是在内部进行开发。对于大多数接收调查的用户来说,更快的威胁检测、修复和响应能力是使用外部解决方案的主要优势。
Kaspersky Logo