本文来自微信公众号“GoUpSec”。
过去几年中,威胁情报(CTI)的重要性被反复强调,但遗憾的是,大多数企业的威胁情报计划还远未成熟。未来几年,威胁情报“雷声大雨点小”的的情况将发生逆转,威胁情报市场将迎来一轮企业投资热潮。
根据ESG的最新调查报告,大多数受访企业都支持投资威胁情报计划,63%的企业计划在未来12到18个月内“大幅”增加威胁情报计划支出,而另有34%的企业计划“稍微”增加威胁情报计划支出。
报告指出,企业之所以会在预算紧张的时期在威胁情报上追加投资,是因为威胁情报可以给企业带来实实在在的技术和商业利益。
CISO纷纷下注威胁情报
ESG的调查显示,受访的CISO们认为,对威胁情报计划的进一步投资可以减轻网络风险,同时改进威胁预防和检测。在接下来的12到24个月内:
30%的企业将优先考虑与其他内部团队共享威胁情报报告。这是正确的选择,因为威胁情报的价值绝不仅限于富化安全运营中心(SOC)的警报。CISO可以使用威胁情报确定安全投资的优先级并验证安全控制,而业务经理也可以在数字化转型计划与更全面的风险管理决策之间取得平衡。威胁情报(在更多部门)的分发和用户反馈也是成熟威胁情报生命周期的关键环节。
27%的企业将优先投资数字风险保护(DRP)服务。企业的数字足迹不断扩大,需要更好地了解伴生风险。DRP服务可通过监控深网/暗网聊天内容来探查企业是否发生在线数据泄漏、品牌受损、攻击面漏洞以及正在酝酿中的黑客攻击计划等。
27%的企业将优先考虑威胁情报与其他安全技术的集成。除了端点、电子邮件和网络边界之外,CISO还希望威胁情报与云安全工具集成,例如安全信息和事件管理(SIEM)和扩展检测和响应(XDR)解决方案、安全服务边缘工具(SSE,如安全Web网关和云)和云访问服务代理(CASB)。更多集成能够阻止更多入侵指标(IoC)并开发更全面的基于威胁感知的防御。
27%的企业将优先购买威胁情报平台(TIP),用于威胁情报收集、处理、分析和共享。TIP曾经是大型企业的专属应用,现在正慢慢走向市场。预计这些支出中的大部分最终将流向Flashpoint、Mandiant、Rapid7(Intsights)、Recorded Future、Reliaquest(Digital Shadows)、SOCRadar和ZeroFox等专业服务提供商。Cisco、CrowdStrike、IBM、Microsoft和Palo Alto Networks等大品牌也将分得一杯羹。
26%的企业准备升级威胁情报计划。企业意识到他们不能再依赖兼职威胁分析师查看一些开源威胁情报提要。相反,他们迫切需要配备正式人员和流程来执行完整的威胁情报生命周期。虽然CISO将他们的内部机构整理得井井有条,但大多数人将依赖服务提供商来完成大部分实际工作。
总结:威胁情报有望“转正”
业界对威胁情报的定义可概括为:“关于网络对手敌对意图的循证可操作知识”。过去,此定义主要针对IoC指标、信誉列表(例如,IP地址、Web域或文件的列表)以及TTP等信息。但在数字化转型、云计算、SaaS应用和远程办公的推动下,市场对威胁情报的定位和需求在过去几年正在发生深刻变化。
最值得关注的趋势之一就是数字风险保护被纳入威胁情报计划,且重要性不断提升。此外,ESG的报告显示,企业对威胁情报的定位和需求正在同步提升,企业希望扩大威胁情报的应用范围,与更多安全技术集成,并且升级原有的临时威胁情报计划。
