要进行事件预防,威胁情报是必备的,威胁情报同时也是企业需要投资的重要领域。与此同时,这个新的专业领域对IT安全团队来说仍然具有挑战性,因为它需要不断的追踪、分析和解析大量零散的数据,此外还需要定期重新评估和调整恰当的技能、数据来源和工具。
这项新研究评估了具有成熟的网络安全功能的公司的威胁情报实践[1],结果显示,尽管83%的决策者认识到威胁情报在建立一个有抗风险能力的网络安全计划中的关键作用,并计划在该领域投资,但对于所有的公司来说,威胁情报仍然是一个具有挑战性的专业领域。
三分之二的IT安全领导者(64%)表示,它们的公司正在努力使其威胁情报计划与风险管理计划保持一致,62%的公司在实施测量程序以跟踪威胁情报有效性方面面临困难。其他主要担忧还包括提高对威胁形势的了解、优先考虑多个利益相关者对信息的要求以及确定数据的差距。
为了应对这些挑战,改善他们的威胁情报计划,IT安全决策者计划在内部实施一系列措施并利用供应商提供的服务。受调查人员认为,依靠外部供应商来解决主要的威胁情报需求更为高效。十分之六(61%)的受调查者支持处理原始情报信息,60%的人支持收集人类情报,59%的人支持将数据馈送与其他安全工具集成。但是,公司仍然优先考虑发展内部能力来选择和汇总数据源。
使用供应商支持的最大的两个优势是更快的威胁检测、补救和响应(56%)以及通过自动报告流程提高效率(52%)。约一半的受调查者还表示,外部解决方案能够减少违规事件的数量,降低相关的成本。
“威胁情报计划加强了公司的防御能力,通过提供相关和适用的见解,提高了企业对于威胁形势的可见性。为威胁情报的处理和分析提供便利,能够让企业做出及时和充分知情的决定。但是,评估威胁情报服务并在无数可用的市场选择中进行选择是IT安全团队面临的另一个挑战,”卡巴斯基企业产品营销兼产品营销负责人Artem Karasev评论说:“我们在威胁研究方面的经验表明,虽然几乎没有完全适用于所有组织的标准,但选择外部威胁情报来源的指导原则应该是质量而不是数量。”
卡巴斯基建议在评估外部威胁情报解决方案时,特别注意以下几点:
有关成熟的威胁情报以建立弹性网络安全计划的研究报告全文请参见这里。
[1] 2021年7月,卡巴斯基委托Forrester咨询公司评估拥有成熟IT安全团队的公司的威胁情报实践。为了探索这一主题,Forrester调查了678名拥有安全运营中心(SOC)或专门IT安全部门的公司的IT安全决策者。