威脅情報對於合規人員證明治理、風險和合規 (GRC) 預算的合理性至關重要
據估計,合規性推動了網絡安全行業 50% 的支出。最近,我們的一些客戶、防禦方同事表示,合規性框架通常不會考慮威脅情報。造成這種情況的主要原因是嘈雜的數據饋送、缺乏可識別的指標以及缺乏與客戶痛點相關的可操作情報。
使用 NIST 框架,組織可以評估他們當前的安全狀況,同意組織目標,了解他們的差距並制定計劃來優化他們的安全狀況。我們使用這個框架來展示威脅情報對於合規人員如何證明治理、風險和合規 (GRC) 預算的合理性至關重要,以及它對於負責事件響應、安全運營和第三方風險的 CISO 和安全從業者也如何重要。
確認
資產管理
1) ID.AM-4:外部信息系統被編目。服務提供商持續監控外部數字足跡,識別新資產和新服務。打開 RDP 埠、在防火牆策略之外運行的影子 IT 設備以及與您的環境通信的未經授權的文件共享是監視邊界或外部攻擊面管理的三個最常見的用例。
風險評估
2) ID.RA-1:識別並記錄資產漏洞。雖然此子類別通常用於監視內部資產是否配置錯誤,但也需要持續監視和評估外部資產以識別漏洞並確定參與者利用這些漏洞的可能性。
3) ID.RA-2:網絡威脅情報來自信息共享論壇和來源。威脅情報和託管服務提供商可以使用對暗網和開源論壇(包括社交媒體)的訪問來收集有關潛在威脅的信息。這通常是通過爬網來識別暗網上被盜的憑據、發現社交媒體冒充、評估對人員或設施的物理威脅、識別負面品牌和聲譽情緒,並在必要時直接與威脅行為者接觸來完成的。
4) ID.RA-3:識別並記錄內部和外部的威脅。外部威脅的範圍從針對組織的勒索軟體團體到出售對組織數據的訪問權限的網絡罪犯。情報提供者可以通過從外部監控惡意活動(例如,員工在犯罪論壇上出售訪問權限或數據)和未經授權的文件共享來協助應對潛在的內部威脅。
5) ID.RA-4:識別潛在的業務影響和可能性。情報可以識別外部威脅活動的可能性並提供上下文。例如,可以圍繞特定的勒索軟體系列提供上下文,並確定檢測工具是否可以識別其有效載荷而不是加密文件。可以在整體業務影響分析中考慮此上下文。
6) ID.RA-5:威脅、脆弱性、可能性和影響用於確定風險。威脅、漏洞和威脅的可能性可以包含在威脅態勢評估中,以幫助確定企業的總體風險。例如,威脅格局應涵蓋以企業業務地點為重點的全球地緣政治活動。特別令人感興趣的是涉及與關鍵供應商相關的網絡、物理、內部人員、加密/數字和供應鏈威脅的活動。情報目標是識別當前和不斷升級的威脅,以便領導者能夠隨著威脅的變化做出調整。
供應鏈管理
7) ID.SC-2:使用網絡供應鏈風險評估流程對供應商和第三方合作夥伴進行識別、優先排序和評估。威脅情報提供商使用關鍵供應商的攻擊面和聲譽監控工具監控網際網路。在對供應商進行高、中、低排名後,企業應對關鍵供應商進行威脅情報監控和 RFI 響應,因為關鍵供應商的數據和服務位於企業邊界之外(例如 MSP),並且可能存在更高的妥協可能性。
8) ID.SC-4:使用審計、測試結果或其他評估形式定期評估供應商和第三方合作夥伴,以確認他們履行合同義務。理想情況下,威脅情報提供商和託管服務提供商將持續監控網際網路,以確保審計、測試結果和調查問卷有效。出於法律和合規目的,供應商調查問卷應被視為第三方風險評估的起點。但是,這些調查問卷應該經過驗證並與威脅情報相關聯,特別是對於高風險供應商。
如前所述,通過補充和增加洞察力的可操作情報來增強網絡安全和合規計劃可以輕鬆證明威脅情報計劃的投資和增長是合理的。這是一種有價值的方法,應該被更多的企業組織採用。