Gartner发布评估威胁情报计划有效性指南:评估威胁情报有效性的四个步骤

许多组织都在努力实施 TI 并评估其价值。安全和风险管理领导者必须使用优先情报要求来评估其 TI 计划的有效性,并根据其组织战略完善该计划。

 

主要发现

  • 尽管许多组织已将威胁情报 (TI) 纳入其安全计划,但他们很难评估其性能、成熟度以及在相关产品和服务中的总体投资。

  • 安全和风险管理 (SRM) 领导者仍在被动地管理他们的计划,而不是制定可防御的增长计划,导致缺乏证实的报告。

  • 由于 TI 缺乏监督和治理,许多组织无法建立健康的反馈循环,从而错过了调整和管理噪音源的机会。

  • 由于缺乏 TI规范化,组织无法使收集到的信息具有可操作性,也无法评估与业务驱动优先级相关的计划成熟度。

建议

负责安全运营的 SRM 领导应:

  • 开发 TI 目标运营模型,明确定义根据业务风险取得成功成果所需的角色、职责和工具。

  • 建立作为成熟度成长标志的目标。这将向利益相关者表明计划正在按照预期进行。

  • 衡量现有情报能力并确定需要改进的领域。管理不是一个配置选项,而是一个定制源和流程以满足业务需求的迭代过程。

  • 定义并传达运营指标以说明所做投资的价值。TI 的价值在于其集体使用以及帮助组织最大限度地减少网络影响或快速恢复。

战略规划假设

2024 年未能充分评估和报告威胁情报绩效的安全运营 (SecOps) 中有 30% 将在 2025 年经历预算削减。

介绍

为了充分衡量其 TI 能力的成功和有用性,SRM 领导者必须规范其计划。通过这种结构,他们可以设定衡量增长的目标,向利益相关者传播消费品情报并捍卫预算。根据最近的一项调查,87% 评估其 TI 计划的受访者表示,他们预防、检测和响应网络威胁的能力得到了实质性改进。

评估 TI 计划的有效性不仅仅是衡量威胁信息的性能。它没有充分说明努力在解决业务风险方面的效果如何。为了证明有效性,需要其他人理解所承担任务的原因,并根据目标调整行动。为了让其他人了解TI 工作背后的原因,作为 SRM 领导者,必须将计划正式化,保证充分的理由并定义前进的逻辑路径。这项研究解释了如何通过四个步骤实现这一目标(见图 1):

  • 创建目标运营模型。

  • 设立目标作为成长标志。

  • 衡量 TI 操作的有效使用。

  • 提供重要的输出。

图 1:评估 TI 有效性的步骤

分析

创建目标运营模型

虽然定义需求是此过程的关键,但这仅仅是开始。目标运营模型 (TOM) 记录了愿景和实现该愿景的策略。如今,大多数组织都没有关于 TI 计划的长期目标、战略或使命宣言,因此不可避免地缺乏真正的方向。

情报需求是组织最关心的问题,即让高管们彻夜难眠的威胁。SRM 领导者必须记录这些问题,并将其作为 TI 产品和服务可以回答的问题。有了这种理解,就可以用高级领导层可以理解的语言清楚地定义组织的良好形象。

使用优先情报要求 (PIR)创建TOM具有三个主要优点:

  • 确定正确的产品和服务。

  • 确定适当的能力范围。

  • 定义成功所需的正确技能。

在一个充斥着承诺类似结果的供应商的市场中,采用外科手术式的采购方法始终至关重要。为此,请根据需求创建工件列表(想要了解的属性),以回答PIR 提出的关键问题。这些工件,也称为特定情报要求 (SIR),是从众多供应商中正确筛选的关键。将这些 SIR 视为收集情报的标准。因此,请在评估中包括供应商可以满足的标准。这些工件还可以与PIR 结合使用,对现有的情报进行差距分析。映射产品和服务采用的 TI 功能,并评估它们是否满足或部分满足要求。当今的 TI 市场需要更简洁的采购方法来清除营销混乱的迷雾。

确定规划多少能力并非易事,特别是考虑到缺乏行业标准或广泛认可的框架。因此,鼓励 SRM 领导者利用构建 TI TOM 的机会来定义满足这些要求所需的服务深度。在总体愿景或目标模型中,定义可能需要哪些 TI 功能来正确分析并向业务报告情报。

目标是否符合具有地理专业知识的高水平长期分析?它们是否面向取证收集的情报并为威胁行为者基础设施跟踪或为安全运营中心 (SOC) 提供高质量的战术指标而设置?这些问题没有普遍正确的答案;只有合适的。应该:

  • 让目标与原始需求保持一致。

  • 考虑将收集的必要情报及其相关分析。

  • 制定预算预测。

目标远大,但要保持在组织可以实现的范围内。TI 计划的发展方向越接近最初的要求,计划就越可靠。

阐明 TI 愿景后,请规划资源分配和采购模型。许多组织选择了某种程度的混合 TI,将一些服务外包给提供商(例如,战略成品情报产品、威胁行为者归因、深网和暗网活动)和其他特定工作在内部完成(例如,战术指标分析、开源情报研究)。同样,在这里,没有正确的选择。然而,值得考虑的是,至少有一些具有组织机构记忆的内部资源,以帮助进一步策划和报告或传播衍生情报。

少数组织选择外包所有 TI,而内部管理全部 TI 的组织则更少。虽然许多组织需要多个提供商来满足其所有要求,但值得考虑雇用和维持 TI 员工的成本。愿景越复杂,就越能吸引顶尖人才。然而,这也可能给保留带来挑战。制定计划来管理人员流失、让 TI 分析师面临挑战、保护任务进展的预算并确保为 TI 员工提供卓越的机会。

设立目标作为成长的标志

除了使用整体愿景来决定 TI 的能力及其运作方式之外,还应该阐明成功的明确目标。这些目标是作为 SRM 领导者必须努力实现的标志,才能使TI 计划取得成功。选择使用这些目标来告诉企业领导者,对功能的投资正在按预期体现其价值。不同的项目有不同的要求、如何满足这些要求的不同愿景、不同的预算,因此成功的标准也不同。然而,可以将一些成功的关键指标视为增长的标志(见表 1)。

表1 :威胁情报计划的关键成功指标说明

生长标记示例

描述

问题

例子

优先情报要求合规性

确定 TI 根据业务批准和预期解决的风险程度。

我们能够回答多少来自行政领导层的问题 (PIR)?

本季度,在 9 个已批准的 PIR 中,我们的 TI 计划已实施了总共 3 个。

资源履行

说明了任何 TI 计划的核心组件,用于实施收集到的情报。

我们是否拥有实现我们目标所需的人员?

本季度,在实现我们的目标所需的十项资源中,我们已经配备了五名人员。

能力赋能

记录有多少情报功能已启用并且组织可以完全访问以实现批准的目标。

TOM 中记录的功能有多少已投入使用并可供企业使用?

本季度,在 TOM 中记录的六项 TI 功能中,我们已完全启用其中四项。

资料来源:高德纳

很少有组织拥有预算、高管支持、资源或时间来在第一年实现其全部愿景。因此,任何成熟的 TOM 都应该包括一个多年计划,以充分发挥其能力。该计划应包括为满足批准的要求而提供的行动和服务的时间表。从这个意义上说,可以明确地将 PIR 履行或合规性确定为增长标志。例如,在第一年,可以将已有的内容正式化,以建立两个 PIR 的合规性。第二年,可能会努力加入另外两名 PIR。第三年和随后的几年遵循相同的模式(见图 2)。

PIR 是将情报最接近地转化为业务,因此利用它们作为绩效和增长的标记,使其可用于业务风险以及最终批准预算和评估现有和未来投资的人员。SRM 领导者还有一个额外的好处,即可以将所有必需的服务、资源和产品嵌套在相关 PIR 下,以改进运营、治理、报告和论证。

图 2:PIR 合规性

 

无论 SRM 领导者选择哪种采购模式(内部、外包或混合),他们都可以利用新资源(全职员工 [FTE])的加入来实现增长。顶尖网络安全人才难以聘用和留住;TI 分析师也不例外。因此,可以使用资源履行作为标记增长的另一个指标。如果没有分析师积极对收集到的信息进行分析和调查并将这些信息整理成情报,TI 程序就无法发挥作用。因此,新资源的加入可以作为证明成熟的标志,并且应该被视为合理增长叙述的一部分。无论将资源履行情况与 PIR 履行情况保持一致还是单独跟踪,都应考虑使用可行的标记来说明进度。

能力支持是可能考虑的增长的另一个标志。精心编写的 TOM 不仅应该清楚地阐明项目目标,还应该清楚地阐明实现预期目标的构建模块。这些构建块或功能可以定义为另一组标记。

例如,如果要求需要识别泄露的敏感数据,例如凭证和个人身份信息 (PII),那么组织必须利用资源、合作伙伴和情报来资助和开发深度网络和暗网功能。为了共同的目的而聚集在一起。此功能可以部分满足多个要求。因此,以这种方式考虑你的所有能力,并在你的成长叙述中单独评估它们。

衡量威胁情报的有效使用

上一节讨论了计划绩效以及如何根据预算理由衡量计划的增长。它是商业领袖和商业领袖所使用的语言。正是这种叙述将使计划能够抵御风险。然而,一组不同的测量对 TI 程序的内部性能提出了挑战。它们用于评估 TI 本身以及如何使用 TI 生命周期将原始数据转化为可操作的智能见解。

在评估 TI 时,SRM 领导者应关注高功能项目的两个核心要素:治理功能或项目绩效,以及运营功能或情报绩效。

衡量情报性能的方法有很多,其中很大程度上取决于程序收集和处理的情报类型。表 2提供了两种价值叙述的一些示例:检测和干预。这些是运作良好的 安全运营团队的主要支柱:发现威胁并进行干预以防止或驱逐威胁。指标只是数据的测量。性能方向(积极、中立或消极)应由服务级别协议 (SLA) 或服务级别目标 (SLO) 定义。指标表示数据的测量值,SLA/SLO 表示可接受的目标。当指标超过、达到或未达到目标时,即可确定绩效。

表2 :衡量TI表现的价值叙述示例

放大表格

话题

问题

使用示例

公制公式

指标

价值叙述:检测

确定检测警报情报的有效性

TI 是否提高了威胁检测用例的效率?

在本月的 500 个 SIEM 警报中,有 400 个是真正的阳性警报,并且是由 TI 丰富的用例触发的。

TI 富化的 TP 警报/警报总数 = 百分比

公制:400/500 = 80% ▼

进度限制:90%

TI 丰富的新用例(SIEM、威胁追踪)

本月发布的生产检测用例中有多少包含 TI 丰富内容?

在 20 个新开发的用例中,18 个包含 TI 丰富。

TI 富化的 UC/新   UC 总数 = 百分比

公制:18/20 = 90% ▲

SLO = 80%

定义攻击链

我们的 TI 是否通过 MITRE 框架进行了丰富以实现增强的机器可读协作?

在本月摄取的 8,000 个指标中,有 5,500 个在 MITRE ATT&CK 框架中带有 TTP 标记。

富含 MITRE 的 IOC/摄入的 IOC 总量 = 百分比

公制:5500/8000 = 68% ▼

SLO = 75%

识别威胁参与者和工具

我们是否能够将威胁行为者归因于他们用于破坏我们组织的工具和/或相关恶意软件?

我们能够识别本月 25 起事件中的 20 起所使用的恶意软件或工具。

积极归因的 IR 案例/IR 案例总数 = 百分比

公制:20/25 = 80% ▲

SLO = 75%

价值叙事:干预

漏洞优先级

我们的 TI 是否帮助我们优先处理最关键的暴露?

在上一个维护时段部署的 75 个补丁中,有 50 个优先使用 TI。

使用 TI 优先处理的漏洞数/已修复的漏洞总数 = 百分比

公制:50/75 = 66% ▼

SLO = 90%

事件响应

我们的事件响应能力是否得到最相关的 TI 的充分支持以调查和消除威胁?

在上个月发生的 30 起事件中,有 28 起需要 TI 支持来解决。

IR RFI/总 IR 案例 =   百分比

公制:28/30 = 93% ▲

SLO = 75%

提供可行的 TI

我们的 TI 在检测和响应网络攻击方面的帮助效果如何?

在上个月的 500 个 SIEM 警报中,TI 丰富的用例证明 400 个是真正的阳性警报。其中 30 起引发了 IR,其中 28 起需要额外的情报支持才能解决。

TI 富化的 TP/警报总数 = xx%

+

IR RFI/IR 案例总数 = xx%

总和 ⁒ 2= xx%

公制:[(400/500 = 80%) + (28/30 = 93%)]/2 = 86.5% ▲

进度限制:80%

预防性反应

TI 帮助主动制止了多少起事件?

TI 跨安全设备自动阻止的数量

成功区块的数量,累计值。随时间变化的趋势

# 随着时间的推移而变化。

注意:此表用作可能与通用 TI 程序相关的一些指标的示例。然而,每个组织的要求和情报使用都不同,因此,应该考虑一套量身定制的指标来满足他们的需求。

资料来源:高德纳

提供重要的情报输出

情报之旅起源于原始数据,例如有关威胁行为者基础设施、威胁行为者工具及其动机的数据。将原始数据转化为情报的过程涉及调查分析、探索性研究、关联和佐证。所有这些步骤都需要深入了解 PIR,这将充分塑造从数据中创建TI的工作(图 3)。否则,收集到的数据就没有多大用处,失去了任何可操作性。如今,太多的组织都在努力充分利用丰富的信息,这些信息可以转化为可用于战术或战略目的的可操作情报。SRM 领导者有责任根据 PIR 定义最相关的输出,并映射他们选择的指标来讲述一个传达有意义信息的故事。

图 3:用于创建相关输出的 TI 操作流程

建立 PIR 的过程还应包括确定利益相关者,将向他们寻求建议,并告诉他们接收情报的首选方式。一些利益相关者可能更喜欢接收针对未来状态执行决策的成品情报产品,而其他利益相关者可能更喜欢将实时机器可读的信息输入到他们的安全设备中。其他人可能会根据他们的要求更喜欢这两种方法的组合。

例如,漏洞管理器不一定关心安全SIEM 是否已识别出与已知不良 Internet 协议 (IP) 地址的已建立连接。CEO不会关心APT 组织正在为零日漏洞开发POC,营销人员也不会关心凭据已被泄露。这些例子表明,如果向不需要情报的人报告情报,或者在没有适当背景的情况下报告情报,那么情报不会产生什么影响。必须首先确定报告偏好,以避免断章取义地报告并将高性能 TI 程序变成白噪声。

TI是一种业务支撑能力。无论所涉及的技术或服务多么复杂,它的价值取决于其输出。如果它不能回答企业的问题,它就不会展示任何价值。

使用批准的 PIR 来设定长期目标,跟踪和报告这些目标的进展情况,衡量 TI 产品和服务的有效性,并有效地向相关利益相关者报告。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/659165.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

再次疾呼:一稿多投是作者的合法权利!

近日,有作者反应在收到拒稿邮件之后另投他刊,竟然被判定一稿多投。 出版社解释说现在大多数期刊都是使用投稿系统收稿,如果被退稿后马上又投稿其他期刊,由于时间距离太近,仍然会被系统判定为一稿多投的。核心期刊编辑…

深入探索C++继承机制:从概念到实践的全面指南

目录 继承的概念及定义 继承的概念 继承的定义 定义格式 继承方式和访问限定符 继承基类成员访问方式的变化 默认继承方式 基类和派生类对象赋值转换 继承中的作用域 派生类的默认成员函数 继承与友元 继承与静态成员 继承的方式 菱形虚拟继承 菱形虚拟继承原理 继承…

「盘点」JetBrains IDEs v2024.1新功能一览,更智能的开发体验!

JetBrains IDEs日前正式发布了v2024.1版本,此版本中最大的亮点就是带来了AI赋能的全行代码补全,同时在最新的IDEs中重做了终端、拥有更强大的代码编辑和导航功能、更智能的代码分析和提示、更优化的性能、更丰富的插件和集成等。总的来说,Jet…

淘宝API探秘:一键获取店铺所有商品的魔法之旅

在数字时代的今天,数据已经成为了商业世界中的魔法石。而对于淘宝店主或者那些想要深入探索淘宝数据的人来说,淘宝API就像是打开阿里巴巴宝藏库的钥匙。今天,我们就来一起探索如何使用淘宝API,特别是如何获取店铺所有商品的接口&a…

为WPF的Grid添加网格边框线

在WPF中使用Grid绘制表格的时候,如果元素较多、排列复杂的话,界面会看起来很糟糕,没有层次,这时用网格或边框线分割各元素(标签或单元格)将会是页面看起来整齐有条理。 默认没有边框线的如下图所示&#xf…

Java 循环嵌套深度揭秘:挑战极限与性能优化

哈喽,大家好,我是木头左! 探索Java的调用栈极限 在Java中,方法调用是通过栈(Stack)这种数据结构来实现的。每当一个方法被调用时,一个新的栈帧(Stack Frame)会被创建并压…

React 中的 Fiber 架构

React Fiber 介绍 React Fiber 是 React 的一种重写和改进的核心算法,用于实现更细粒度的更新和高效的调度。它是 React 16 版本中的一个重要更新,使得 React 能够更好地处理复杂和高频的用户交互。以下是对 React Fiber 的详细介绍: 为什么…

便民社区信息小程序源码系统 功能强大 带生活电商+求职招聘功能 带完整的安装代码包以及搭建教程

系统概述 便民社区信息小程序源码系统是一款集多种功能于一身的综合性平台。它旨在为用户提供便捷的生活服务,满足社区居民的各种需求。无论是购物、求职还是获取社区信息,都能在这个平台上得到满足。该系统采用先进的技术架构,确保系统的稳…

【python 进阶】 绘图

1. 将多个柱状绘制在一个图中 import seaborn as sns import matplotlib.pyplot as plt import numpy as np import pandas as pd# 创建示例数据 categories [A, B, C, D, E] values1 np.random.randint(1, 10, sizelen(categories)) values2 np.random.randint(1, 10, siz…

揭秘!编写高质量代码的关键:码农必知的黄金法则!

文章目录 一、保持代码的简洁与清晰二、遵循良好的命名规范三、注重代码的可读性四、利用抽象与封装五、遵循SOLID原则六、关注代码性能七、确保代码安全性《码农修行:编写优雅代码的32条法则》编辑推荐内容简介目录前言/序言 在编程的世界里,每一位码农…

VSCode 报错 之 运行 js 文件报错 ReferenceError: document is not defined

1. 背景 持续学习ing 2. 遇到的问题 在VSCode 右键 code runner js 文件报错 ReferenceError: document is not defined eg: // 为每个按钮添加点击事件监听器 document.querySelectorAll(button).forEach(function (button) {button.addEventListener(click, f…

python基础-数据结构-leetcode刷题必看-heapq --- 堆队列算法

文章目录 堆的定义堆的主要操作堆的构建堆排序heapq模块heapq.heappush(heap, item)heapq.heappop(heap)heapq.heappushpop(heap, item)heapq.heapreplace(heap, item)heapq.merge(*iterables, keyNone, reverseFalse)heapq.nlargest(n, iterable, keyNone)heapq.nsmallest(n, …

赛氪网与武汉外语外事职业学院签署校企合作,共创职业教育新篇章

5月23日下午14:00,武汉外语外事职业学院在藏龙岛校区食堂三楼报告厅隆重举行了2024年职业教育活动周优秀校外实习基地表彰仪式。本次活动旨在表彰在职业教育领域作出突出贡献的校外实习基地,同时加强校企合作,共同推动职业教育的发展。作为重…

gitlab之docker-compose汉化离线安装

目录 概述离线资源docker-compose结束 概述 gitlab可以去 hub 上拉取最新版本,在此我选择汉化 gitlab ,版本 11.x 离线资源 想自制离线安装镜像,请稳步参考 docker镜像的导入导出 ,无兴趣的直接使用在此提供离线资源 百度网盘(链…

经典文献阅读之--RepViT-SAM(利用语义分割提高NDT地图压缩和描述能力的框架)

0. 简介 Segment Anything Model (SAM) 最近在各种计算机视觉任务上展现了令人瞩目的零样本迁移性能 。然而,其高昂的计算成本对于实际应用仍然具有挑战性。MobileSAM 提出通过使用蒸馏替换 SAM 中的重图像编码器,使用 TinyViT,从而显著降低了…

认识K8s集群的声明式资源管理方法

前言 Kubernetes 集群的声明式资源管理方法是当今云原生领域中的核心概念之一,使得容器化应用程序的部署和管理变得更加高效和可靠。本文将认识了解 Kubernetes 中声明式管理的相关理念、实际应用以及优势。 目录 一、管理方法介绍 1. 概述 2. 语法格式 2.1 管…

AI图书推荐:用ChatGPT和Python搭建AI应用来变现

《用ChatGPT和Python搭建AI应用来变现》(Building AI Applications with ChatGPT API)将ChatGPT API与Python结合使用,可以开启构建非凡AI应用的大门。通过利用这些API,你可以专注于应用逻辑和用户体验,而ChatGPT强大的…

适合学生党的蓝牙耳机有哪些?盘点四大性价比蓝牙耳机品牌

对于追求高品质音乐体验而又预算有限的学生党来说,一款性价比高的蓝牙耳机无疑是最佳选择,在众多品牌和型号中,如何挑选到既适合自己需求又价格亲民的蓝牙耳机,确实是一个值得思考的问题,作为一个蓝牙耳机大户&#xf…

台灯护眼是真的吗?警惕这六大问题!

在当今社会,随着电子设备的普及和长时间的用眼,大多数人面临着严重的视觉疲劳问题。长时间盯着屏幕或学习,眼睛需要不断调节焦距,导致眼睛肌肉疲劳,进而引发视力下降。这种现象在年轻一代甚至青少年中尤为普遍&#xf…

半导体测试基础 - 功能测试

功能测试(Functional Test)主要是验证逻辑功能,是运用测试矢量和测试命令来进行的一种测试,相比于纯 DC 测试而言,组合步骤相对复杂且耦合度高。 在功能测试阶段时,测试系统会以周期为单位,将测试矢量输入 DUT,提供预测的结果并与输出的数据相比较,如果实际的结果与测…