威脅情報的下一步：數字風險保護

雖然入侵指標（IoC）和攻擊者策略、技術和流程（TTP）仍然是威脅情報的核心內容，但在數字化轉型、云計算、SaaS應用和遠程辦公的推動下，市場對網絡威脅情報（CTI）的需求在過去幾年正在發生變化，其中最值得關注的趨勢之一就是數字風險保護（DRP）在威脅情報計劃中的重要性不斷提升。數字風險保護的寬泛定義是：“用于識別和緩解與數字資產相關的風險的遙測、分析、流程和技術”。

根據上月ESG發布的威脅情報市場報告，雖然大多數CISO都在威脅情報領域投資，但普遍面臨困境：近四分之三（74%）的企業聲稱在威脅情報生命周期的不同階段遭遇瓶頸。

業界對威脅情報的定義大致為：“關于網絡對手敵對意圖的循證可操作知識”。過去，此定義主要針對IoC數據、信譽列表（例如，已知錯誤IP地址、Web域或文件的列表）以及TTP的詳細信息，并未覆蓋數字風險保護。

數字風險保護推動威脅情報的采用

數字風險保護的情報部分內容主要包括對用戶憑據、敏感數據、SSL證書或移動應用程序等內容的持續監控，以查找通用弱點、黑客交流內容或惡意活動。例如，惡意移動應用程序或欺詐網站可能冒充企業品牌發起網絡釣魚活動。企業泄露的憑據可能會在暗網上出售，黑客可能正在交換針對企業的攻擊想法。

ESG報告顯示，數字化轉型計劃的激增正在成為企業威脅情報計劃的催化劑。當被問及為什么啟動威脅情報計劃時，38%的受訪者表示其目的是：“作為品牌聲譽、高管保護，以及深網/暗網監控等更廣泛的數字風險保護工作的一部分。”

研究還表明，98%的企業現在都部署了某種形式的數字風險保護措施。

數字風險保護的六大功能

根據ESG的調查，企業安全專業人士最看重數字風險保護的以下六大功能：

• 漏洞利用情報：漏洞管理程序會定期發現成百上千個軟件漏洞，優先級排序成為難點。企業可通過數字風險保護應用了解黑客正在利用哪些漏洞，為漏洞修補優先級提供有用的情報。當然，該任務也可以通過基于風險的漏洞管理工具來完成。
• 刪除服務：英國國家網絡安全中心對刪除服務的定義如下：“刪除服務旨在通過刪除站點和阻止任何攻擊基礎設施來限制這些攻擊可能造成的傷害，從而降低攻擊者的投資回報。”當發現欺詐性網絡釣魚網站或移動應用程序時，刪除服務是降低風險的最短途徑。
• 泄露數據監控：無論是內部攻擊、員工疏忽或草率行為，數據泄露都非常普遍。數字風險保護計劃能在泄露數據給公司造成重大損失之前及時預警。
• 惡意移動應用程序監控：一些偽裝成合法軟件的“灰色軟件”和惡意軟件可以破壞用戶設備或玷污組織聲譽。數字風險保護可以在合法（例如Google Play和Apple Store）和地下應用程序商店中找到并遏制此類軟件的傳播。
• 品牌保護：品牌保護服務可保護公司及其相關品牌的知識產權（IP）免受造假者、版權盜版、專利侵權等侵害，也能對（仿冒公司品牌的）網絡釣魚站點甚至虛假實物商品進行監控。數字風險保護應用能夠掃描互聯網以查找冒名頂替者、假貨和詐騙。
• 攻擊面管理（ASM）：ASM是對企業攻擊面上所有數字資產的持續發現、監視、分析和修復。在某些情況下，ASM包含在數字風險保護服務中。

數字風險保護還可以包括暗網監控，用于監控有關企業的網絡輿情和潛在的針對性攻擊計劃。此類情報可幫助企業在網絡安全護城河之外編織一層防護網。

許多企業沒有選擇在本地部署自己的數字風險保護程序，而是使用數字風險保護服務提供商，例如CrowdStrike、Cybersixgill、Digital Shadows（Reliaquest）、Intsights（Rapid 7）、Mandiant、Proofpoint和ZeroFox等。

在企業數字化轉型進入廣闊的深水區，被動安全體系捉襟見肘的今天，無論以何種形式部署，數字風險保護都應該是成熟網絡威脅情報計劃的重要組成部分。在將這兩個領域合并在一起之前，CISO應使用威脅情報生命周期方法實施數字風險保護。成功的數字風險保護計劃需要創建明確的優先情報要求（PIR）、強大的分析、定制的情報報告和持續反饋來推動。