利用威胁情报网关(TIG)充分利用威胁情报

尽管许多安全专业人员仍然对威胁情报的准确性和质量不满意,但它作为网络防御资源的使用正在增长。根据2019年SAN​​S网络威胁情报(CTI)调查,生产或消费CTI的组织比例从60%上升到72%。

随着它得到更广泛的采用,随着越来越多的组织寻求更有效和高效地实施其TI,他们正在慢慢开始实施威胁情报网关(TIG)。

什么是威胁情报网关?

曾经有一段时间威胁情报与妥协指标(IoC)同义,但现在通常被认为还包括战术,技术和程序(TTP),威胁行为,攻击面意识和战略评估。然后,此安全数据和信息用于创建组织的数字风险图并进行管理。

威胁情报网关是一种新兴的网络安全类别。从根本上说,该解决方案通常位于防火墙前排在网络上,并根据来自多个来源/供应商(商业,开源,行业和政府)的各种TI过滤入站和出站流量。

TIG还可以根据流量来源做出允许或拒绝决定。

“Gartner将TIG定义为'基于大量威胁情报(TI)指标过滤流量的网络安全解决方案',”Bandura Cyber​​首席战略官Todd Weller解释为帮助网络安全。“我们更广泛地定义TIG,因为我们的TIG不仅仅是过滤:我们提供对TI,聚合,自动化和关键'采取行动'元素的访问。”

他指出,TIG不是传统威胁情报服务的替代品 – 它们是对它们的补充。它们使安全团队能够根据其下一代防火墙(NGFW)不允许的威胁情报来检测和阻止流量。

“NGFW可以很好地利用NGFW供应商的威胁情报,但通常不能与第三方TI指标(IP和域名)配合使用。此外,出于性能原因,许多NGFW显着限制了您可以摄取和采取行动的第三方指标的数量。对于大多数NGFW来说,数量限制在几十万个指标,而许多威胁信息的指标数量可能达到数百万和数千万,“Weller解释说。

“此外,在NGFW中管理第三方TI非常麻烦且耗时。未使用来自Anomali,Threat Connect,ThreatQuotient等公司的威胁情报平台(TIP)的组织也发现了我们在一个地方聚合多个威胁源并让它们自动更新的能力。这减少了很多手动工作。“

这对组织有什么影响

Weller表示,在过去的12个月里,他们看到客户对TIG的兴趣显着增加,并预计这一趋势将持续下去。

虽然大型企业 – 作为威胁情报高级用户 – 欢迎能够以几乎没有延迟的方式过滤超过1亿个独特IP和域的流量,并且能够轻松地与TI源及其现有安全系统(如SIEM)集成,中小型组织是将TIG视为另一层防御。

“这些公司没有大量资源,也没有大型安全运营中心或分析师团队,但他们有相同的网络安全问题。TIG使这些客户能够以简单,自动化且经济实惠的方式获得企业级TI功能,“他指出。

“对于他们来说,这真的是关于易用性和可管理性以及TIG的即插即用特性。他们喜欢这样一个事实:他们可以通过自动化的交钥匙解决方案快速部署并获得价值,并且管理费用低。“

他还指出,希望为其客户群提供增值威胁情报服务的托管安全服务提供商(MSSP)越来越感兴趣,并预计威胁情报厂商将在不久的将来开始提供TIG。

“许多TI供应商历来专注于拥有购买和使用第三方威胁情报资源的大型企业。我可以直接告诉您这些TI供应商中的许多正在寻找扩大市场和收入机会的方法。在短期内,我会寻求在这些方面建立更多战略合作伙伴关系。从长期来看,我看到了整合的潜力,“他认为。

 

参考链接:

Making the most of threat intelligence with threat intelligence gateways

发表评论