网络威胁情报能力成熟度模型详解
了解的必要性
网络威胁情报能力成熟度模型(CTI-CMM)通过概述11个关键领域和CTI可以支持决策的具体任务,帮助组织评估和改进其威胁情报计划。该模型描述了四个成熟度级别,通过持续改进循环指导团队从基础、临时性活动发展到高度战略性和精细化的实践。CTI-CMM建立在早期能力模型和研究基础上,为组织提供了一个实用的框架来基准测试和发展其CTI工作。
概述
熟悉的谚语"先学走,再学跑"总结了一个关于技能获取的基本真理:在执行更复杂的活动之前,必须掌握某些基础能力。这一原则普遍适用,从学习新运动到发展高度专业化的技术技能。任何领域都有基础技能,即该领域任何有能力的人都能执行的活动,以及显示个人(或团队)已达到最高掌握水平的特征。
能力成熟度模型(CMMs)概述了特定领域内可能需要的技能和活动的层次结构。这些能力和特征针对在领域内运作的不同成熟度水平的团队列出。这些描述可用于评估团队的当前水平,或确定必须获得的能力以改进。
尽管其重要性,网络威胁情报(CTI)的确切功能在不同组织之间可能存在很大差异。社区开发的网络威胁情报能力成熟度模型(CTI-CMM)展示了威胁情报如何帮助组织,以及网络威胁情报团队可以达成的各种能力水平。
详细信息
CTI-CMM列出了11个CTI可以极大改善决策的领域,并详细说明了CTI可以执行以加强每个领域的具体"任务"。
| 领域 | 简要描述 | CTI任务示例 |
|---|---|---|
| 资产、变更和配置管理 | 管理组织的IT和OT资产 | 快速检测有风险的资产 |
| 威胁和漏洞管理 | 检测、识别、分析、管理和响应网络安全威胁和漏洞 | 降低针对新出现对手、恶意软件、漏洞和攻击的风险 |
| 风险管理 | 识别、分析和响应组织面临的网络风险 | 改进风险决策 |
| 身份和访问管理 | 管理可能被授予对组织资产逻辑或物理访问权限的实体的身份 | 减少事件检测时间,加速修复 |
| 态势感知 | 建立运营状态和网络安全状态的态势感知 | 基于当前和预测的威胁态势推动威胁知情决策 |
| 事件和应急响应、运营连续性 | 响应网络安全事件并从中恢复 | 为事件响应者创造情报优势并加强安全态势 |
| 第三方风险管理 | 管理来自供应商和其他第三方的网络风险 | 监控、检测、评估和缓解第三方供应商构成的潜在事件 |
| 欺诈和滥用管理 | 保护组织免受恶意数字诈骗和攻击 | 与相关利益相关者分享威胁和发现 |
| 劳动力管理 | 创建网络安全文化和安全能力 | 支持强化人为因素 |
| 网络安全架构 | 维护组织网络安全架构的结构和行为 | 提供可能针对组织的网络威胁洞察 |
| 网络安全计划管理 | 为组织的网络安全活动提供治理、战略规划和赞助 | 提供定制情报输入以告知网络安全决策 |
这些任务涵盖了广泛的范围,从主动监控组织的攻击面以支持资产管理,到提供关于不断演变的威胁态势及其与组织活动直接相关性的关键态势感知。
CTI-CMM还定义了威胁情报活动的不同成熟度水平,提供了清晰的进展路径:
| 级别 | 特征 |
|---|---|
| CTI0(基础前) | 未执行实践的占位符 |
| CTI1(基础) | 许多威胁情报活动从这里开始,特点是基础、临时性和无计划的努力,专注于短期、反应性结果 |
| CTI2(高级) | 随着活动成熟,它变得有计划,有记录的程序和指标证明其对利益相关者的支持。重点转向主动和预测性情报,提供短期和中期结果 |
| CTI3(领先) | 在最高水平,活动高度精细化,专注于为业务提供长期战略成果。这一级别整合了规范性情报和建议,结合持续改进实践,使实践可衡量并直接与业务目标对齐 |
该框架支持类似于"计划、执行、检查、行动"管理模型的改进过程。在这种情况下,改进循环内的步骤是"准备、评估、计划、部署、测量"。随着每次循环旋转,威胁情报计划的能力逐步改进,增长计划的成熟度。
CTI-CMM的历史
这种改进能力和对照定义标准进行基准测试的方法并不新鲜。CMMs起源于1980年代中期,由美国国防部希望比较和评估软件承包商的愿望推动。主要得益于卡内基梅隆大学软件工程研究所(SEI)的努力,CMMs演变为广泛应用的能力成熟度模型集成(CMMI)。
CTI-CMM采用了由美国能源行业开发并于2012年首次发布的网络安全能力成熟度模型(C2M2)的领域。虽然C2M2承认威胁情报作为整体网络安全态势中的一个概念的重要性,但它没有具体解决专门威胁情报计划的成熟度。然而,描述威胁情报成熟度模型的第一篇论文在同一年由行业供应商Verisign发表。因此,CTI-CMM的起源可以追溯到2010年代初的这两个倡议。
结语
组织必须理解,追求最高水平的CTI成熟度并不总是一个实际目标。情报计划应专注于满足其用户和利益相关者的真实需求,而不是寻求在行业框架上获得高分。拥有更多资源的情报团队可能产生"更好"的情报并更具响应性。然而,在资源有限的世界中,这些额外资源可能更好地用于向能够很好使用它的团队提供"足够好"的情报,而不是向没有能力或资源有效利用信息的团队提供最佳情报。
最终,网络威胁情报能力成熟度模型(CTI-CMM)为组织评估和发展其CTI能力提供了宝贵的资源。随着威胁情报巩固其作为网络安全战略不可或缺组成部分的角色,成熟度模型工具不仅将成为内部组织增长的驱动力,还将成为外部实体基准测试和比较组织整体网络安全成熟度的关键工具。