威胁情报对于合规人员证明治理、风险和合规 (GRC) 预算的合理性至关重要
据估计,合规性推动了网络安全行业 50% 的支出。最近,我们的一些客户、防御方同事表示,合规性框架通常不会考虑威胁情报。造成这种情况的主要原因是嘈杂的数据馈送、缺乏可识别的指标以及缺乏与客户痛点相关的可操作情报。
使用 NIST 框架,组织可以评估他们当前的安全状况,同意组织目标,了解他们的差距并制定计划来优化他们的安全状况。我们使用这个框架来展示威胁情报对于合规人员如何证明治理、风险和合规 (GRC) 预算的合理性至关重要,以及它对于负责事件响应、安全运营和第三方风险的 CISO 和安全从业者也如何重要. 本专栏是两部分系列中的第一部分,将重点介绍用于“识别”的 NIST 框架。
确认
资产管理
1) ID.AM-4:外部信息系统被编目。服务提供商持续监控外部数字足迹,识别新资产和新服务。打开 RDP 端口、在防火墙策略之外运行的影子 IT 设备以及与您的环境通信的未经授权的文件共享是监视边界或外部攻击面管理的三个最常见的用例。
风险评估
2) ID.RA-1:识别并记录资产漏洞。虽然此子类别通常用于监视内部资产是否配置错误,但也需要持续监视和评估外部资产以识别漏洞并确定参与者利用这些漏洞的可能性。
3) ID.RA-2:网络威胁情报来自信息共享论坛和来源。威胁情报和托管服务提供商可以使用对暗网和开源论坛(包括社交媒体)的访问来收集有关潜在威胁的信息。这通常是通过爬网来识别暗网上被盗的凭据、发现社交媒体冒充、评估对人员或设施的物理威胁、识别负面品牌和声誉情绪,并在必要时直接与威胁行为者接触来完成的。
4) ID.RA-3:识别并记录内部和外部的威胁。外部威胁的范围从针对组织的勒索软件团体到出售对组织数据的访问权限的网络罪犯。情报提供者可以通过从外部监控恶意活动(例如,员工在犯罪论坛上出售访问权限或数据)和未经授权的文件共享来协助应对潜在的内部威胁。
5) ID.RA-4:识别潜在的业务影响和可能性。情报可以识别外部威胁活动的可能性并提供上下文。例如,可以围绕特定的勒索软件系列提供上下文,并确定检测工具是否可以识别其有效载荷而不是加密文件。可以在整体业务影响分析中考虑此上下文。
6) ID.RA-5:威胁、脆弱性、可能性和影响用于确定风险。威胁、漏洞和威胁的可能性可以包含在威胁态势评估中,以帮助确定企业的总体风险。例如,威胁格局应涵盖以企业业务地点为重点的全球地缘政治活动。特别令人感兴趣的是涉及与关键供应商相关的网络、物理、内部人员、加密/数字和供应链威胁的活动。情报目标是识别当前和不断升级的威胁,以便领导者能够随着威胁的变化做出调整。
供应链管理
7) ID.SC-2:使用网络供应链风险评估流程对供应商和第三方合作伙伴进行识别、优先排序和评估。威胁情报提供商使用关键供应商的攻击面和声誉监控工具监控互联网。在对供应商进行高、中、低排名后,企业应对关键供应商进行威胁情报监控和 RFI 响应,因为关键供应商的数据和服务位于企业边界之外(例如 MSP),并且可能存在更高的妥协可能性。
8) ID.SC-4:使用审计、测试结果或其他评估形式定期评估供应商和第三方合作伙伴,以确认他们履行合同义务。理想情况下,威胁情报提供商和托管服务提供商将持续监控互联网,以确保审计、测试结果和调查问卷有效。出于法律和合规目的,供应商调查问卷应被视为第三方风险评估的起点。但是,这些调查问卷应该经过验证并与威胁情报相关联,特别是对于高风险供应商。
如前所述,通过补充和增加洞察力的可操作情报来增强网络安全和合规计划可以轻松证明威胁情报计划的投资和增长是合理的。这是一种有价值的方法,应该被更多的企业组织采用。
>>>供应链安全<<<
联系客服