利用网络威胁情报增强事件响应策略

重点摘要

网络安全专家利用网络威胁情报 (CTI) 在诸多方面，包括辅助和增强事件响应 (IR)。有效的利用 CTI，可以帮助安全团队提升检测与响应能力，节省时间并指引调查方向。以下是五个针对如何在以 CTI 为核心的 IR 策略中获取最大价值的建议。

安全团队在利用 CTI 的同时，必须将其应用于正确的方式，以发挥其最大效益。本文将讨论 CTI 在 IR 中的重要性，并提供可行的实施建议。

不要将 CTI 视为“设定后即忘”的工具

简单地将 CTI 纳入 IR 流程并不能解决所有问题。CTI 应当提升团队已知的信息。如果团队对业务、IT 环境、何为正常及不正常的状态没有深入的理解，即使 CTI 的量和类型再多，也无济于事。要想从 CTI中获取价值，团队首先需要基准化环境，深入了解业务、不同部门的运作方式以及正常的流量模式。只有在掌握了正常业务行为后，才能侦测到异常活动，利用 CTI来丰富指标以采取相应行动。

保持灵活性

IR 计划旨在帮助安全团队记录可重复的过程，以便在网络威胁事件中 consistently 执行。然而，企业无法预测每一种威胁向量或可能发生的情况。因此，将 IR 计划视为有用的指南，而不是绝对的权威，IR 团队需要根据新输入的 CTI快速调整。过于严格遵循计划的响应团队，可能会导致效率低下。应当关注建立工作的一致性，同时培养独立的分析能力。这意味着要为 IR过程建立结构，但要赋予响应者根据情况、进来的 CTI 和威胁行为进行灵活反应的自主权。

将风险纳入 CTI

将风险因素整合到 CTI中，可以使其与安全团队更具相关性。没有风险的考量，安全团队就无法筛选情报报告，以确定哪些信息对他们是适用的。了解环境、企业所在的行业、团队运行的系统及需要保护的资产等因素，能够帮助事件响应者在海量数据中快速识别对组织有益的信息。基于相关信息，他们可以在响应策略上做出明智的决策。

确定组织的风险承受能力

就像公司在财务活动和投资中权衡风险一样，企业也需明确它们在网络威胁下的风险承受能力。包括识别哪些风险需要消除、减轻和容忍，这些信息将影响哪些 CTI是相关的，以及组织如何响应事件。如果团队无法减轻某项风险而必须接受（例如软件漏洞），则必须集中精力获取正确的 CTI、工具和流程，以提供实时的准确检测——因为团队越快识别出威胁，就能越快地阻止它造成的伤害。

保持耐心

正如罗马不是一天建成的，CTI 策略的制定同样需要时间。许多 CTI研究存在于真空中，未能反映出企业的实际能力。这可能会让安全团队感到不知所措，因为他们甚至不知道如何开始筛选出与业务相关的信息。然而，花时间理解公司的基线行为和风险承受能力，可以帮助制定出查找和提取相关数据的策略，以确保业务安全。CTI有潜在的显著投资回报，但不会立即显现。实现企业所需的价值需要时间和内在的反思。

许多威胁行为者依然采用同