Gartner发布评估威胁情报计划有效性指南:评估威胁情报有效性的四个步骤

许多组织都在努力实施 TI 并评估其价值。安全和风险管理领导者必须使用优先情报要求来评估其 TI 计划的有效性,并根据其组织战略完善该计划。

 

主要发现

  • 尽管许多组织已将威胁情报 (TI) 纳入其安全计划,但他们很难评估其性能、成熟度以及在相关产品和服务中的总体投资。

  • 安全和风险管理 (SRM) 领导者仍在被动地管理他们的计划,而不是制定可防御的增长计划,导致缺乏证实的报告。

  • 由于 TI 缺乏监督和治理,许多组织无法建立健康的反馈循环,从而错过了调整和管理噪音源的机会。

  • 由于缺乏 TI规范化,组织无法使收集到的信息具有可操作性,也无法评估与业务驱动优先级相关的计划成熟度。

建议

负责安全运营的 SRM 领导应:

  • 开发 TI 目标运营模型,明确定义根据业务风险取得成功成果所需的角色、职责和工具。

  • 建立作为成熟度成长标志的目标。这将向利益相关者表明计划正在按照预期进行。

  • 衡量现有情报能力并确定需要改进的领域。管理不是一个配置选项,而是一个定制源和流程以满足业务需求的迭代过程。

  • 定义并传达运营指标以说明所做投资的价值。TI 的价值在于其集体使用以及帮助组织最大限度地减少网络影响或快速恢复。

战略规划假设

2024 年未能充分评估和报告威胁情报绩效的安全运营 (SecOps) 中有 30% 将在 2025 年经历预算削减。

介绍

为了充分衡量其 TI 能力的成功和有用性,SRM 领导者必须规范其计划。通过这种结构,他们可以设定衡量增长的目标,向利益相关者传播消费品情报并捍卫预算。根据最近的一项调查,87% 评估其 TI 计划的受访者表示,他们预防、检测和响应网络威胁的能力得到了实质性改进。

评估 TI 计划的有效性不仅仅是衡量威胁信息的性能。它没有充分说明努力在解决业务风险方面的效果如何。为了证明有效性,需要其他人理解所承担任务的原因,并根据目标调整行动。为了让其他人了解TI 工作背后的原因,作为 SRM 领导者,必须将计划正式化,保证充分的理由并定义前进的逻辑路径。这项研究解释了如何通过四个步骤实现这一目标(见图 1):

  • 创建目标运营模型。

  • 设立目标作为成长标志。

  • 衡量 TI 操作的有效使用。

  • 提供重要的输出。

图 1:评估 TI 有效性的步骤

分析

创建目标运营模型

虽然定义需求是此过程的关键,但这仅仅是开始。目标运营模型 (TOM) 记录了愿景和实现该愿景的策略。如今,大多数组织都没有关于 TI 计划的长期目标、战略或使命宣言,因此不可避免地缺乏真正的方向。

情报需求是组织最关心的问题,即让高管们彻夜难眠的威胁。SRM 领导者必须记录这些问题,并将其作为 TI 产品和服务可以回答的问题。有了这种理解,就可以用高级领导层可以理解的语言清楚地定义组织的良好形象。

使用优先情报要求 (PIR)创建TOM具有三个主要优点:

  • 确定正确的产品和服务。

  • 确定适当的能力范围。

  • 定义成功所需的正确技能。

在一个充斥着承诺类似结果的供应商的市场中,采用外科手术式的采购方法始终至关重要。为此,请根据需求创建工件列表(想要了解的属性),以回答PIR 提出的关键问题。这些工件,也称为特定情报要求 (SIR),是从众多供应商中正确筛选的关键。将这些 SIR 视为收集情报的标准。因此,请在评估中包括供应商可以满足的标准。这些工件还可以与PIR 结合使用,对现有的情报进行差距分析。映射产品和服务采用的 TI 功能,并评估它们是否满足或部分满足要求。当今的 TI 市场需要更简洁的采购方法来清除营销混乱的迷雾。

确定规划多少能力并非易事,特别是考虑到缺乏行业标准或广泛认可的框架。因此,鼓励 SRM 领导者利用构建 TI TOM 的机会来定义满足这些要求所需的服务深度。在总体愿景或目标模型中,定义可能需要哪些 TI 功能来正确分析并向业务报告情报。

目标是否符合具有地理专业知识的高水平长期分析?它们是否面向取证收集的情报并为威胁行为者基础设施跟踪或为安全运营中心 (SOC) 提供高质量的战术指标而设置?这些问题没有普遍正确的答案;只有合适的。应该:

  • 让目标与原始需求保持一致。

  • 考虑将收集的必要情报及其相关分析。

  • 制定预算预测。

目标远大,但要保持在组织可以实现的范围内。TI 计划的发展方向越接近最初的要求,计划就越可靠。

阐明 TI 愿景后,请规划资源分配和采购模型。许多组织选择了某种程度的混合 TI,将一些服务外包给提供商(例如,战略成品情报产品、威胁行为者归因、深网和暗网活动)和其他特定工作在内部完成(例如,战术指标分析、开源情报研究)。同样,在这里,没有正确的选择。然而,值得考虑的是,至少有一些具有组织机构记忆的内部资源,以帮助进一步策划和报告或传播衍生情报。

少数组织选择外包所有 TI,而内部管理全部 TI 的组织则更少。虽然许多组织需要多个提供商来满足其所有要求,但值得考虑雇用和维持 TI 员工的成本。愿景越复杂,就越能吸引顶尖人才。然而,这也可能给保留带来挑战。制定计划来管理人员流失、让 TI 分析师面临挑战、保护任务进展的预算并确保为 TI 员工提供卓越的机会。

设立目标作为成长的标志

除了使用整体愿景来决定 TI 的能力及其运作方式之外,还应该阐明成功的明确目标。这些目标是作为 SRM 领导者必须努力实现的标志,才能使TI 计划取得成功。选择使用这些目标来告诉企业领导者,对功能的投资正在按预期体现其价值。不同的项目有不同的要求、如何满足这些要求的不同愿景、不同的预算,因此成功的标准也不同。然而,可以将一些成功的关键指标视为增长的标志(见表 1)。

表1 :威胁情报计划的关键成功指标说明

生长标记示例

描述

问题

例子

优先情报要求合规性

确定 TI 根据业务批准和预期解决的风险程度。

我们能够回答多少来自行政领导层的问题 (PIR)?

本季度,在 9 个已批准的 PIR 中,我们的 TI 计划已实施了总共 3 个。

资源履行

说明了任何 TI 计划的核心组件,用于实施收集到的情报。

我们是否拥有实现我们目标所需的人员?

本季度,在实现我们的目标所需的十项资源中,我们已经配备了五名人员。

能力赋能

记录有多少情报功能已启用并且组织可以完全访问以实现批准的目标。

TOM 中记录的功能有多少已投入使用并可供企业使用?

本季度,在 TOM 中记录的六项 TI 功能中,我们已完全启用其中四项。

资料来源:高德纳

很少有组织拥有预算、高管支持、资源或时间来在第一年实现其全部愿景。因此,任何成熟的 TOM 都应该包括一个多年计划,以充分发挥其能力。该计划应包括为满足批准的要求而提供的行动和服务的时间表。从这个意义上说,可以明确地将 PIR 履行或合规性确定为增长标志。例如,在第一年,可以将已有的内容正式化,以建立两个 PIR 的合规性。第二年,可能会努力加入另外两名 PIR。第三年和随后的几年遵循相同的模式(见图 2)。

PIR 是将情报最接近地转化为业务,因此利用它们作为绩效和增长的标记,使其可用于业务风险以及最终批准预算和评估现有和未来投资的人员。SRM 领导者还有一个额外的好处,即可以将所有必需的服务、资源和产品嵌套在相关 PIR 下,以改进运营、治理、报告和论证。

图 2:PIR 合规性

 

无论 SRM 领导者选择哪种采购模式(内部、外包或混合),他们都可以利用新资源(全职员工 [FTE])的加入来实现增长。顶尖网络安全人才难以聘用和留住;TI 分析师也不例外。因此,可以使用资源履行作为标记增长的另一个指标。如果没有分析师积极对收集到的信息进行分析和调查并将这些信息整理成情报,TI 程序就无法发挥作用。因此,新资源的加入可以作为证明成熟的标志,并且应该被视为合理增长叙述的一部分。无论将资源履行情况与 PIR 履行情况保持一致还是单独跟踪,都应考虑使用可行的标记来说明进度。

能力支持是可能考虑的增长的另一个标志。精心编写的 TOM 不仅应该清楚地阐明项目目标,还应该清楚地阐明实现预期目标的构建模块。这些构建块或功能可以定义为另一组标记。

例如,如果要求需要识别泄露的敏感数据,例如凭证和个人身份信息 (PII),那么组织必须利用资源、合作伙伴和情报来资助和开发深度网络和暗网功能。为了共同的目的而聚集在一起。此功能可以部分满足多个要求。因此,以这种方式考虑你的所有能力,并在你的成长叙述中单独评估它们。

衡量威胁情报的有效使用

上一节讨论了计划绩效以及如何根据预算理由衡量计划的增长。它是商业领袖和商业领袖所使用的语言。正是这种叙述将使计划能够抵御风险。然而,一组不同的测量对 TI 程序的内部性能提出了挑战。它们用于评估 TI 本身以及如何使用 TI 生命周期将原始数据转化为可操作的智能见解。

在评估 TI 时,SRM 领导者应关注高功能项目的两个核心要素:治理功能或项目绩效,以及运营功能或情报绩效。

衡量情报性能的方法有很多,其中很大程度上取决于程序收集和处理的情报类型。表 2提供了两种价值叙述的一些示例:检测和干预。这些是运作良好的 安全运营团队的主要支柱:发现威胁并进行干预以防止或驱逐威胁。指标只是数据的测量。性能方向(积极、中立或消极)应由服务级别协议 (SLA) 或服务级别目标 (SLO) 定义。指标表示数据的测量值,SLA/SLO 表示可接受的目标。当指标超过、达到或未达到目标时,即可确定绩效。

表2 :衡量TI表现的价值叙述示例

放大表格

话题

问题

使用示例

公制公式

指标

价值叙述:检测

确定检测警报情报的有效性

TI 是否提高了威胁检测用例的效率?

在本月的 500 个 SIEM 警报中,有 400 个是真正的阳性警报,并且是由 TI 丰富的用例触发的。

TI 富化的 TP 警报/警报总数 = 百分比

公制:400/500 = 80% ▼

进度限制:90%

TI 丰富的新用例(SIEM、威胁追踪)

本月发布的生产检测用例中有多少包含 TI 丰富内容?

在 20 个新开发的用例中,18 个包含 TI 丰富。

TI 富化的 UC/新   UC 总数 = 百分比

公制:18/20 = 90% ▲

SLO = 80%

定义攻击链

我们的 TI 是否通过 MITRE 框架进行了丰富以实现增强的机器可读协作?

在本月摄取的 8,000 个指标中,有 5,500 个在 MITRE ATT&CK 框架中带有 TTP 标记。

富含 MITRE 的 IOC/摄入的 IOC 总量 = 百分比

公制:5500/8000 = 68% ▼

SLO = 75%

识别威胁参与者和工具

我们是否能够将威胁行为者归因于他们用于破坏我们组织的工具和/或相关恶意软件?

我们能够识别本月 25 起事件中的 20 起所使用的恶意软件或工具。

积极归因的 IR 案例/IR 案例总数 = 百分比

公制:20/25 = 80% ▲

SLO = 75%

价值叙事:干预

漏洞优先级

我们的 TI 是否帮助我们优先处理最关键的暴露?

在上一个维护时段部署的 75 个补丁中,有 50 个优先使用 TI。

使用 TI 优先处理的漏洞数/已修复的漏洞总数 = 百分比

公制:50/75 = 66% ▼

SLO = 90%

事件响应

我们的事件响应能力是否得到最相关的 TI 的充分支持以调查和消除威胁?

在上个月发生的 30 起事件中,有 28 起需要 TI 支持来解决。

IR RFI/总 IR 案例 =   百分比

公制:28/30 = 93% ▲

SLO = 75%

提供可行的 TI

我们的 TI 在检测和响应网络攻击方面的帮助效果如何?

在上个月的 500 个 SIEM 警报中,TI 丰富的用例证明 400 个是真正的阳性警报。其中 30 起引发了 IR,其中 28 起需要额外的情报支持才能解决。

TI 富化的 TP/警报总数 = xx%

+

IR RFI/IR 案例总数 = xx%

总和 ⁒ 2= xx%

公制:[(400/500 = 80%) + (28/30 = 93%)]/2 = 86.5% ▲

进度限制:80%

预防性反应

TI 帮助主动制止了多少起事件?

TI 跨安全设备自动阻止的数量

成功区块的数量,累计值。随时间变化的趋势

# 随着时间的推移而变化。

注意:此表用作可能与通用 TI 程序相关的一些指标的示例。然而,每个组织的要求和情报使用都不同,因此,应该考虑一套量身定制的指标来满足他们的需求。

资料来源:高德纳

提供重要的情报输出

情报之旅起源于原始数据,例如有关威胁行为者基础设施、威胁行为者工具及其动机的数据。将原始数据转化为情报的过程涉及调查分析、探索性研究、关联和佐证。所有这些步骤都需要深入了解 PIR,这将充分塑造从数据中创建TI的工作(图 3)。否则,收集到的数据就没有多大用处,失去了任何可操作性。如今,太多的组织都在努力充分利用丰富的信息,这些信息可以转化为可用于战术或战略目的的可操作情报。SRM 领导者有责任根据 PIR 定义最相关的输出,并映射他们选择的指标来讲述一个传达有意义信息的故事。

图 3:用于创建相关输出的 TI 操作流程

建立 PIR 的过程还应包括确定利益相关者,将向他们寻求建议,并告诉他们接收情报的首选方式。一些利益相关者可能更喜欢接收针对未来状态执行决策的成品情报产品,而其他利益相关者可能更喜欢将实时机器可读的信息输入到他们的安全设备中。其他人可能会根据他们的要求更喜欢这两种方法的组合。

例如,漏洞管理器不一定关心安全SIEM 是否已识别出与已知不良 Internet 协议 (IP) 地址的已建立连接。CEO不会关心APT 组织正在为零日漏洞开发POC,营销人员也不会关心凭据已被泄露。这些例子表明,如果向不需要情报的人报告情报,或者在没有适当背景的情况下报告情报,那么情报不会产生什么影响。必须首先确定报告偏好,以避免断章取义地报告并将高性能 TI 程序变成白噪声。

TI是一种业务支撑能力。无论所涉及的技术或服务多么复杂,它的价值取决于其输出。如果它不能回答企业的问题,它就不会展示任何价值。

使用批准的 PIR 来设定长期目标,跟踪和报告这些目标的进展情况,衡量 TI 产品和服务的有效性,并有效地向相关利益相关者报告。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/335387.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

1比1万地形图符号库分享

我们在《1:2.5万、1:5万、1:10万军用地形图图式》一文中,为大家分享过军用地形图式。 还在《超实用三调符号库分享下载》一文中,为大家分享过三调符号库。 现在再为你分享一个1比1万的地形图符号库,请在文末查看符号…

2023年西安交通大学校赛(E-雪中楼)

E.雪中楼 如果算出按南北的序列,再转成从低到高的编号序列,岂不是太麻烦了,幸好,没有在这方面费长时间,而是意识到,本质就是要从低到高的编号序列,所以我就按样例模拟了一下,当a[i]0…

AI生成四季变化解决方案,四季之美,一图尽揽

随着AI技术已经渗透到我们生活的方方面面,在这个充满变化的时代,美摄科技以其前沿的AI生成技术,为企业带来了全新的视觉体验——AI生成四季变化解决方案。这一方案不仅能够让车辆实拍的照片焕发不同季节的风采,更能在不改变原图构…

中国企业出海,哪些业务需要负载均衡?

国内企业出海的进程正在加速。中国的出海企业剑指跨境电商、社交、游戏、短剧等市场,其中尤其以跨境电商的数据最为突出。据官方数据,2023年我国跨境电商进出口总额达到2.38万亿元,比2016年增长近50倍,占货物贸易总规模的5.7%。 …

一行命令将已克隆的本地Git仓库推送到内网服务器

一、需求背景 我们公司用gitea搭建了一个git服务器,其中支持win7的最高版本是v1.20.6。 我们公司的电脑在任何时候都不能连接外网,但是希望将一些开源的仓库移植到内网的服务器来。一是有相关代码使用的需求,二是可以建设一个内网能够查阅的…

【Java】HOT100+代码随想录:动态规划(下)

目录 三、打家劫舍 LeetCode198:打家劫舍 LeetCode213:打家劫舍ii LeetCode337:打家劫舍iii(树形) 四、股票问题 时间不多了,其他的先不写了 LeetCode121:买卖股票的最佳时机 五、子序列…

【Python】 如何在Python中表示枚举类型(Enum)

枚举(Enum)是一种特殊的数据类型,它允许我们为一组固定的常量赋予更易读的名字。在Python中,枚举类型可以通过enum模块来实现,这个模块在Python 3.4及以后的版本中被引入。枚举类型不仅可以使代码更加清晰,…

汇编原理(三)编程

源程序: 汇编指令:有对应的机器码与其对应 伪指令:无对应的机器码,是由编译器来执行的指令,编译器根据伪指令来进行相关的编译工作。 ex1:XXX segment、XXX ends这两个是一对成对使用的伪指令,且必须会被用…

蓝桥杯Web开发【大学组:国赛】2022年真题

1.分一分 如果给你一个数组,你能很快将它分割成指定长度的若干份吗? 1.1 题目问题 请在 js/index.js 文件中补全函数 splitArray 中的代码,最终返回按指定长度分割的数组。 具体要求如下: 将待分割的(一维&#x…

香橙派AIpro快速上线——纯小白体验版本!!!

目录 前言 一、快速上线 官网的样例测试 ​编辑解决模型转换问题的步骤 如果系统卡死 二、usb摄像头测试 三、总结 模型转换 小结 前言 香橙派AIproubuntu系统32G sd卡 香橙派AIpro开发板采用昇腾AI技术路线,接口丰富且具有强大的可扩展性,提…

Redis面试题深度解析

1、我看你做的项目中,都用到了redis,你在最近的项目中哪些场景使用了redis呢? 2、缓存穿透 布隆过滤器的误判现象 Redisson和Guava都对布隆过滤器进行了实现 3、缓存击穿 互斥锁,就是一个线程来修改,并占据了锁,另外其…

FreeRTOS【8】二值信号量使用

1.开发背景 FreeRTOS 提供了队列可以在线程间快速交换信息,那么还有没有其他交互渠道?答案是有的,相对于队列传递信息,还有更轻量级的线程唤醒操作,那就是信号量,而二值信号量就是最简单的一种。 二值信号量…

SQL开窗函数

文章目录 概念:语法:常用的窗口函数及示例:求平均值:AVG() :求和:SUM():求排名:移动平均计数COUNT():求最大MXA()/小MIN()值求分区内的最大/最小值求当前行的前/后一个值 概念: 开窗…

UML 在 vs-code上的快速使用

UML 在 vs-code上的快速使用 1.软件准备工作2.创建第一张甘特图2.1 创建 UML文件: xxxx. puml2.2 输入甘特图代码2.3 VS code 生成甘特图 结束 。 1.软件准备工作 使用的软件为:VS CODE使用插件 : PluntUML2.创建第一张甘特图 2.1 创建 UML文件: xxxx. …

云端力量:利用移动云服务器高效部署Spring Boot Web应用

文章目录 一、移动云介绍二、移动云产品选择三、体验云主机ECS四、使用移动云服务器部署SpringBoot Web应用4.1移动云ECS安装JDK4.2移动云ECS安装MySQL4.3移动云ECS数据库插入数据4.4移动云ECS部署Spring Boot Web应用 总结 一、移动云介绍 移动云是中国移动基于自研的先进技术…

网络延迟监控

网络中的延迟是指数据通过网络传输到其预期目的地所需的时间,它通常表示为往返延迟,即数据从一个位置传输到另一个位置所需的时间。 网络延迟(也称为滞后)定义为数据包通过多个网络设备进行封装、传输和处理,直到到达…

GitLens或者Git Graph在vscode中对比文件历史变化,并将历史变化同步到当前文件中

有时候我们上周改的代码,现在想反悔把它恢复过来,怎么办???很好,你有这个需求,说明你找对人了,那就是我们需要在vscode中安装这个插件:GitLens或者Git Graph,…

kafka-偏移量图解

生产者偏移量:生产者发送消息时写入到哪个位置(主题的每个分区会存储一个 leo 即将写入消息的偏移量),每次写完消息 leo 会 1 消费者偏移量:消费者从哪个位置开始消费消息,小于等于 leo,每个组…

Pytorch-Reduction Ops

文章目录 前言1.torch.argmax()2.torch.argmin()3.torch.amax()4.torch.amin()5.torch.all()6.torch.any()7.torch.max()8.torch.dist()9.torch.logsumexp()10.torch.mean()11.torch.norm()12.torch.nansum()13.torch.prod()14.torch.cumsum()15.torch.cumprod() 前言 1.torch.…

为师妹写的《Java并发编程之线程池十八问》被表扬啦!

写在开头 之前给一个大四正在找工作的学妹发了自己总结的关于Java并发中线程池的面试题集,总共18题,将之取名为《Java并发编程之线程池十八问》,今天聊天时受了学妹的夸赞,心里很开心,毕竟自己整理的东西对别人起到了一点帮助,记录一下! Java并发编程之线程池十八问 经过…