Gartner发布评估威胁情报计划有效性指南:评估威胁情报有效性的四个步骤

许多组织都在努力实施 TI 并评估其价值。安全和风险管理领导者必须使用优先情报要求来评估其 TI 计划的有效性,并根据其组织战略完善该计划。

 

主要发现

  • 尽管许多组织已将威胁情报 (TI) 纳入其安全计划,但他们很难评估其性能、成熟度以及在相关产品和服务中的总体投资。

  • 安全和风险管理 (SRM) 领导者仍在被动地管理他们的计划,而不是制定可防御的增长计划,导致缺乏证实的报告。

  • 由于 TI 缺乏监督和治理,许多组织无法建立健康的反馈循环,从而错过了调整和管理噪音源的机会。

  • 由于缺乏 TI规范化,组织无法使收集到的信息具有可操作性,也无法评估与业务驱动优先级相关的计划成熟度。

建议

负责安全运营的 SRM 领导应:

  • 开发 TI 目标运营模型,明确定义根据业务风险取得成功成果所需的角色、职责和工具。

  • 建立作为成熟度成长标志的目标。这将向利益相关者表明计划正在按照预期进行。

  • 衡量现有情报能力并确定需要改进的领域。管理不是一个配置选项,而是一个定制源和流程以满足业务需求的迭代过程。

  • 定义并传达运营指标以说明所做投资的价值。TI 的价值在于其集体使用以及帮助组织最大限度地减少网络影响或快速恢复。

战略规划假设

2024 年未能充分评估和报告威胁情报绩效的安全运营 (SecOps) 中有 30% 将在 2025 年经历预算削减。

介绍

为了充分衡量其 TI 能力的成功和有用性,SRM 领导者必须规范其计划。通过这种结构,他们可以设定衡量增长的目标,向利益相关者传播消费品情报并捍卫预算。根据最近的一项调查,87% 评估其 TI 计划的受访者表示,他们预防、检测和响应网络威胁的能力得到了实质性改进。

评估 TI 计划的有效性不仅仅是衡量威胁信息的性能。它没有充分说明努力在解决业务风险方面的效果如何。为了证明有效性,需要其他人理解所承担任务的原因,并根据目标调整行动。为了让其他人了解TI 工作背后的原因,作为 SRM 领导者,必须将计划正式化,保证充分的理由并定义前进的逻辑路径。这项研究解释了如何通过四个步骤实现这一目标(见图 1):

  • 创建目标运营模型。

  • 设立目标作为成长标志。

  • 衡量 TI 操作的有效使用。

  • 提供重要的输出。

图 1:评估 TI 有效性的步骤

分析

创建目标运营模型

虽然定义需求是此过程的关键,但这仅仅是开始。目标运营模型 (TOM) 记录了愿景和实现该愿景的策略。如今,大多数组织都没有关于 TI 计划的长期目标、战略或使命宣言,因此不可避免地缺乏真正的方向。

情报需求是组织最关心的问题,即让高管们彻夜难眠的威胁。SRM 领导者必须记录这些问题,并将其作为 TI 产品和服务可以回答的问题。有了这种理解,就可以用高级领导层可以理解的语言清楚地定义组织的良好形象。

使用优先情报要求 (PIR)创建TOM具有三个主要优点:

  • 确定正确的产品和服务。

  • 确定适当的能力范围。

  • 定义成功所需的正确技能。

在一个充斥着承诺类似结果的供应商的市场中,采用外科手术式的采购方法始终至关重要。为此,请根据需求创建工件列表(想要了解的属性),以回答PIR 提出的关键问题。这些工件,也称为特定情报要求 (SIR),是从众多供应商中正确筛选的关键。将这些 SIR 视为收集情报的标准。因此,请在评估中包括供应商可以满足的标准。这些工件还可以与PIR 结合使用,对现有的情报进行差距分析。映射产品和服务采用的 TI 功能,并评估它们是否满足或部分满足要求。当今的 TI 市场需要更简洁的采购方法来清除营销混乱的迷雾。

确定规划多少能力并非易事,特别是考虑到缺乏行业标准或广泛认可的框架。因此,鼓励 SRM 领导者利用构建 TI TOM 的机会来定义满足这些要求所需的服务深度。在总体愿景或目标模型中,定义可能需要哪些 TI 功能来正确分析并向业务报告情报。

目标是否符合具有地理专业知识的高水平长期分析?它们是否面向取证收集的情报并为威胁行为者基础设施跟踪或为安全运营中心 (SOC) 提供高质量的战术指标而设置?这些问题没有普遍正确的答案;只有合适的。应该:

  • 让目标与原始需求保持一致。

  • 考虑将收集的必要情报及其相关分析。

  • 制定预算预测。

目标远大,但要保持在组织可以实现的范围内。TI 计划的发展方向越接近最初的要求,计划就越可靠。

阐明 TI 愿景后,请规划资源分配和采购模型。许多组织选择了某种程度的混合 TI,将一些服务外包给提供商(例如,战略成品情报产品、威胁行为者归因、深网和暗网活动)和其他特定工作在内部完成(例如,战术指标分析、开源情报研究)。同样,在这里,没有正确的选择。然而,值得考虑的是,至少有一些具有组织机构记忆的内部资源,以帮助进一步策划和报告或传播衍生情报。

少数组织选择外包所有 TI,而内部管理全部 TI 的组织则更少。虽然许多组织需要多个提供商来满足其所有要求,但值得考虑雇用和维持 TI 员工的成本。愿景越复杂,就越能吸引顶尖人才。然而,这也可能给保留带来挑战。制定计划来管理人员流失、让 TI 分析师面临挑战、保护任务进展的预算并确保为 TI 员工提供卓越的机会。

设立目标作为成长的标志

除了使用整体愿景来决定 TI 的能力及其运作方式之外,还应该阐明成功的明确目标。这些目标是作为 SRM 领导者必须努力实现的标志,才能使TI 计划取得成功。选择使用这些目标来告诉企业领导者,对功能的投资正在按预期体现其价值。不同的项目有不同的要求、如何满足这些要求的不同愿景、不同的预算,因此成功的标准也不同。然而,可以将一些成功的关键指标视为增长的标志(见表 1)。

表1 :威胁情报计划的关键成功指标说明

生长标记示例

描述

问题

例子

优先情报要求合规性

确定 TI 根据业务批准和预期解决的风险程度。

我们能够回答多少来自行政领导层的问题 (PIR)?

本季度,在 9 个已批准的 PIR 中,我们的 TI 计划已实施了总共 3 个。

资源履行

说明了任何 TI 计划的核心组件,用于实施收集到的情报。

我们是否拥有实现我们目标所需的人员?

本季度,在实现我们的目标所需的十项资源中,我们已经配备了五名人员。

能力赋能

记录有多少情报功能已启用并且组织可以完全访问以实现批准的目标。

TOM 中记录的功能有多少已投入使用并可供企业使用?

本季度,在 TOM 中记录的六项 TI 功能中,我们已完全启用其中四项。

资料来源:高德纳

很少有组织拥有预算、高管支持、资源或时间来在第一年实现其全部愿景。因此,任何成熟的 TOM 都应该包括一个多年计划,以充分发挥其能力。该计划应包括为满足批准的要求而提供的行动和服务的时间表。从这个意义上说,可以明确地将 PIR 履行或合规性确定为增长标志。例如,在第一年,可以将已有的内容正式化,以建立两个 PIR 的合规性。第二年,可能会努力加入另外两名 PIR。第三年和随后的几年遵循相同的模式(见图 2)。

PIR 是将情报最接近地转化为业务,因此利用它们作为绩效和增长的标记,使其可用于业务风险以及最终批准预算和评估现有和未来投资的人员。SRM 领导者还有一个额外的好处,即可以将所有必需的服务、资源和产品嵌套在相关 PIR 下,以改进运营、治理、报告和论证。

图 2:PIR 合规性

 

无论 SRM 领导者选择哪种采购模式(内部、外包或混合),他们都可以利用新资源(全职员工 [FTE])的加入来实现增长。顶尖网络安全人才难以聘用和留住;TI 分析师也不例外。因此,可以使用资源履行作为标记增长的另一个指标。如果没有分析师积极对收集到的信息进行分析和调查并将这些信息整理成情报,TI 程序就无法发挥作用。因此,新资源的加入可以作为证明成熟的标志,并且应该被视为合理增长叙述的一部分。无论将资源履行情况与 PIR 履行情况保持一致还是单独跟踪,都应考虑使用可行的标记来说明进度。

能力支持是可能考虑的增长的另一个标志。精心编写的 TOM 不仅应该清楚地阐明项目目标,还应该清楚地阐明实现预期目标的构建模块。这些构建块或功能可以定义为另一组标记。

例如,如果要求需要识别泄露的敏感数据,例如凭证和个人身份信息 (PII),那么组织必须利用资源、合作伙伴和情报来资助和开发深度网络和暗网功能。为了共同的目的而聚集在一起。此功能可以部分满足多个要求。因此,以这种方式考虑你的所有能力,并在你的成长叙述中单独评估它们。

衡量威胁情报的有效使用

上一节讨论了计划绩效以及如何根据预算理由衡量计划的增长。它是商业领袖和商业领袖所使用的语言。正是这种叙述将使计划能够抵御风险。然而,一组不同的测量对 TI 程序的内部性能提出了挑战。它们用于评估 TI 本身以及如何使用 TI 生命周期将原始数据转化为可操作的智能见解。

在评估 TI 时,SRM 领导者应关注高功能项目的两个核心要素:治理功能或项目绩效,以及运营功能或情报绩效。

衡量情报性能的方法有很多,其中很大程度上取决于程序收集和处理的情报类型。表 2提供了两种价值叙述的一些示例:检测和干预。这些是运作良好的 安全运营团队的主要支柱:发现威胁并进行干预以防止或驱逐威胁。指标只是数据的测量。性能方向(积极、中立或消极)应由服务级别协议 (SLA) 或服务级别目标 (SLO) 定义。指标表示数据的测量值,SLA/SLO 表示可接受的目标。当指标超过、达到或未达到目标时,即可确定绩效。

表2 :衡量TI表现的价值叙述示例

放大表格

话题

问题

使用示例

公制公式

指标

价值叙述:检测

确定检测警报情报的有效性

TI 是否提高了威胁检测用例的效率?

在本月的 500 个 SIEM 警报中,有 400 个是真正的阳性警报,并且是由 TI 丰富的用例触发的。

TI 富化的 TP 警报/警报总数 = 百分比

公制:400/500 = 80% ▼

进度限制:90%

TI 丰富的新用例(SIEM、威胁追踪)

本月发布的生产检测用例中有多少包含 TI 丰富内容?

在 20 个新开发的用例中,18 个包含 TI 丰富。

TI 富化的 UC/新   UC 总数 = 百分比

公制:18/20 = 90% ▲

SLO = 80%

定义攻击链

我们的 TI 是否通过 MITRE 框架进行了丰富以实现增强的机器可读协作?

在本月摄取的 8,000 个指标中,有 5,500 个在 MITRE ATT&CK 框架中带有 TTP 标记。

富含 MITRE 的 IOC/摄入的 IOC 总量 = 百分比

公制:5500/8000 = 68% ▼

SLO = 75%

识别威胁参与者和工具

我们是否能够将威胁行为者归因于他们用于破坏我们组织的工具和/或相关恶意软件?

我们能够识别本月 25 起事件中的 20 起所使用的恶意软件或工具。

积极归因的 IR 案例/IR 案例总数 = 百分比

公制:20/25 = 80% ▲

SLO = 75%

价值叙事:干预

漏洞优先级

我们的 TI 是否帮助我们优先处理最关键的暴露?

在上一个维护时段部署的 75 个补丁中,有 50 个优先使用 TI。

使用 TI 优先处理的漏洞数/已修复的漏洞总数 = 百分比

公制:50/75 = 66% ▼

SLO = 90%

事件响应

我们的事件响应能力是否得到最相关的 TI 的充分支持以调查和消除威胁?

在上个月发生的 30 起事件中,有 28 起需要 TI 支持来解决。

IR RFI/总 IR 案例 =   百分比

公制:28/30 = 93% ▲

SLO = 75%

提供可行的 TI

我们的 TI 在检测和响应网络攻击方面的帮助效果如何?

在上个月的 500 个 SIEM 警报中,TI 丰富的用例证明 400 个是真正的阳性警报。其中 30 起引发了 IR,其中 28 起需要额外的情报支持才能解决。

TI 富化的 TP/警报总数 = xx%

+

IR RFI/IR 案例总数 = xx%

总和 ⁒ 2= xx%

公制:[(400/500 = 80%) + (28/30 = 93%)]/2 = 86.5% ▲

进度限制:80%

预防性反应

TI 帮助主动制止了多少起事件?

TI 跨安全设备自动阻止的数量

成功区块的数量,累计值。随时间变化的趋势

# 随着时间的推移而变化。

注意:此表用作可能与通用 TI 程序相关的一些指标的示例。然而,每个组织的要求和情报使用都不同,因此,应该考虑一套量身定制的指标来满足他们的需求。

资料来源:高德纳

提供重要的情报输出

情报之旅起源于原始数据,例如有关威胁行为者基础设施、威胁行为者工具及其动机的数据。将原始数据转化为情报的过程涉及调查分析、探索性研究、关联和佐证。所有这些步骤都需要深入了解 PIR,这将充分塑造从数据中创建TI的工作(图 3)。否则,收集到的数据就没有多大用处,失去了任何可操作性。如今,太多的组织都在努力充分利用丰富的信息,这些信息可以转化为可用于战术或战略目的的可操作情报。SRM 领导者有责任根据 PIR 定义最相关的输出,并映射他们选择的指标来讲述一个传达有意义信息的故事。

图 3:用于创建相关输出的 TI 操作流程

建立 PIR 的过程还应包括确定利益相关者,将向他们寻求建议,并告诉他们接收情报的首选方式。一些利益相关者可能更喜欢接收针对未来状态执行决策的成品情报产品,而其他利益相关者可能更喜欢将实时机器可读的信息输入到他们的安全设备中。其他人可能会根据他们的要求更喜欢这两种方法的组合。

例如,漏洞管理器不一定关心安全SIEM 是否已识别出与已知不良 Internet 协议 (IP) 地址的已建立连接。CEO不会关心APT 组织正在为零日漏洞开发POC,营销人员也不会关心凭据已被泄露。这些例子表明,如果向不需要情报的人报告情报,或者在没有适当背景的情况下报告情报,那么情报不会产生什么影响。必须首先确定报告偏好,以避免断章取义地报告并将高性能 TI 程序变成白噪声。

TI是一种业务支撑能力。无论所涉及的技术或服务多么复杂,它的价值取决于其输出。如果它不能回答企业的问题,它就不会展示任何价值。

使用批准的 PIR 来设定长期目标,跟踪和报告这些目标的进展情况,衡量 TI 产品和服务的有效性,并有效地向相关利益相关者报告。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/19273.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

糖尿病视网膜病变分级新方法:卷积网络做分割和诊断 + 大模型生成详细的测试和治疗建议

糖尿病视网膜病变分级新方法:卷积网络做分割和诊断 大模型生成详细的测试和治疗建议 提出背景相关工作3.1 数据集3.1.1 病变分割 3.1.2 图像分级3.1.3 大型语言模型(LLMs) 解法 数据预处理 数据增强 网络架构 训练过程 测试过程子解法1…

【408真题】2009-25

“接”是针对题目进行必要的分析,比较简略; “化”是对题目中所涉及到的知识点进行详细解释; “发”是对此题型的解题套路总结,并结合历年真题或者典型例题进行运用。 涉及到的知识全部来源于王道各科教材(2025版&…

【数据结构与算法 | 队列篇】力扣102, 107

1. 力扣102 : 二叉树的层序遍历 (1). 题 给你二叉树的根节点 root ,返回其节点值的 层序遍历 。 (即逐层地,从左到右访问所有节点)。 示例 1: 输入:root [3,9,20,null,null,15,7] 输出:[[3]…

STM32FLASH闪存

文章目录 前言首先来回顾一下存储器映像FLASH简介闪存模块组织Flash基本结构(关系)图Flash解锁使用指针访问存储器FLASH操作Flash全擦除Flash页擦除Flash写入 选项字节选项字节操作选项字节擦除选项字节写入 器件电子签名注意闪存控制寄存器一览 前言 本…

[leetcode hot 150]第一百九十一题,位1的个数

题目: 编写一个函数,输入是一个无符号整数(以二进制串的形式),返回其二进制表达式中设置位的个数(也被称为汉明重量)。 这道题比较简单,直接对最后一位进行与1的与操作,然…

RTPS协议之Messages Module

目录 Messages ModuleType定义RTPS消息结构RTPS消息头子消息结构 RTPS消息接收者SubmessageElementsRTPS HeaderRTPS Submessages Messages Module RTPS Writer和RTPS Reader之间的交换数据的消息。 Type定义 TypePurposeProtocolId_tSubmessageFlagsub msg flagSubmessageK…

第16章-超声波跟随功能 基于STM32的三路超声波自动跟随小车 毕业设计 课程设计

第16章-超声波跟随功能 无PID跟随功能 //超声波跟随if(HC_SR04_Read() > 25){motorForward();//前进HAL_Delay(100);}if(HC_SR04_Read() < 20){motorBackward();//后退HAL_Delay(100);}PID跟随功能 在pid.c中定义一组PID参数 tPid pidFollow; //定距离跟随PIDpidFol…

越来越多的连锁企业选择开源连锁收银系统

连锁企业的收银系统作为其信息化的基础&#xff0c;随着运营的复杂化&#xff0c;越来越多的连锁企业选择开源连锁收银系统来满足其日常经营需要。商淘云为大家分享连锁企业选择开源连锁收银系统的三大原因&#xff0c;大家点赞收藏。 首先是灵活性和定制性强&#xff0c;连锁企…

网络故障与排除(一)

一、Router-ID冲突导致OSPF路由环路 路由器收到相同Router-ID的两台设备发送的LSA&#xff0c;所以查看路由表看到的OSPF缺省路由信息就会不断变动。而当C1的缺省路由从C2中学到&#xff0c;C2的缺省路由又从C1中学到时&#xff0c;就形成了路由环路&#xff0c;因此出现路由不…

登录安全分析报告:小米官网注册

前言 由于网站注册入口容易被黑客攻击&#xff0c;存在如下安全问题&#xff1a; 暴力破解密码&#xff0c;造成用户信息泄露短信盗刷的安全问题&#xff0c;影响业务及导致用户投诉带来经济损失&#xff0c;尤其是后付费客户&#xff0c;风险巨大&#xff0c;造成亏损无底洞 …

重学java 51.Collections集合工具类、泛型

"我已不在地坛&#xff0c;地坛在我" —— 《想念地坛》 24.5.28 一、Collections集合工具类 1.概述:集合工具类 2.特点: a.构造私有 b.方法都是静态的 3.使用:类名直接调用 4.方法: static <T> boolean addAll(collection<? super T>c,T... el…

Nginx教程(持续更新中~)

浏览器优先查看host文件中的映射&#xff0c;如果host中没有就会从网上CDN找该域名对应的ip,但是目前使用的www.123.com是外卖假设的&#xff0c;CDN中并没有&#xff0c;所以就采用host中填写 第二种weight: 第三种 ip_hash: 第四种 fair: ​​​​​​

常见webshell工具及特征分析

前言 在工作中经常会遇到各种websehll&#xff0c;黑客通常要通过各种方式获取 webshell&#xff0c;从而获得企业网站的控制权&#xff0c;识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为&#xff0c;下面以常见的四款webshell进行分析&#xff0c;对工具连…

检测头篇 | YOLOv8改进之添加小目标检测头 / 添加大目标检测头 / 减少检测头

前言:Hello大家好,我是小哥谈。本文首先给大家展示原始YOLOv8的网络结构图,然后再对其进行改变,即增加小目标检测头、增加大目标检测头和减少检测头。🌈 目录 🚀1.网络结构图

金融行业专题|超融合对国密卡和国产加密技术的支持能力如何?

目前&#xff0c;不少金融机构都使用国密卡&#xff08;满足国密算法要求的加密卡&#xff09;和国产密码解决方案保障金融信息安全。而在传统虚拟化架构下&#xff0c;单块加密卡通常只能服务一个系统&#xff0c;经常会出现资源利用率低、加密处理性能不足等问题&#xff0c;…

第十五讲:C语言内存函数

第十五讲&#xff1a;C语言内存函数 1.memcpy函数的使用和模拟实现1.1函数原型1.2函数的使用1.3函数使用的注意事项1.4memcpy函数的模拟实现 2.memmove函数的使用和模拟实现2.1函数原型2.2函数使用2.2.1使用函数处理整形数据2.2.2使用函数处理重叠类型&#xff08;源空间和目标…

python探索时钟模拟之旅:从设计到实现

新书上架~&#x1f447;全国包邮奥~ python实用小工具开发教程http://pythontoolsteach.com/3 欢迎关注我&#x1f446;&#xff0c;收藏下次不迷路┗|&#xff40;O′|┛ 嗷~~ 目录 一、引言 二、设计时钟类 三、代码实现 四、扩展功能&#xff1a;指定步数后自动停止 五…

开一个抖音小店可以经营几个类目?经营几个类目最合适?

大家好&#xff0c;我是喷火龙。 抖音小店的商品类目和商品数量是没有限制的&#xff0c;只要是在营业执照的经营范围之内的类目都能入驻抖音小店&#xff0c;但是选择的主营类目不能超过三个。 有些商家可能会想&#xff0c;自己经营多个类目&#xff0c;做多种商品种类&…

VMware安装Ubuntu系统(超详细)

一.Ubuntu官网下载镜像 Ubuntu官网&#xff1a;Enterprise Open Source and Linux | Ubuntu 二.安装Ubuntu系统 选择文件->创建虚拟机新建虚拟机&#xff08;ControlN&#xff09;&#xff0c;这里直接选择典型即可 选择稍后安装系统 选择linux Ubuntu 64位 填写虚拟机名称…

R语言入门 | 使用 dplyr 进行数据转换

3.1简介 3.1.1准备工作 3.1.2 dplyr 基础 • 按值筛选观测&#xff08; filter() &#xff09;。 • 对行进行重新排序&#xff08; arrange() &#xff09;。 • 按名称选取变量&#xff08; select() &#xff09;。 • 使用现有变量的函数创建新变量&#xff08; …