4月15日訊 歐盟網(wǎng)絡(luò)與信息安全局（簡稱ENISA）發(fā)布首份網(wǎng)絡(luò)威脅情報(bào)平臺(tái)（TIP）綜合研究報(bào)告。

威脅情報(bào)平臺(tái)（TIP）:

是一個(gè)可以支持整個(gè)安全團(tuán)隊(duì)的平臺(tái)，從CSO/CISO到安全威脅分析團(tuán)隊(duì)，支持執(zhí)行日常事件響應(yīng)、網(wǎng)絡(luò)防御和威脅分析。成熟的 TIP 用于日常運(yùn)營，支持對(duì)攻擊的阻止和處理，支持戰(zhàn)略決策和流程改進(jìn)，它可以幫助實(shí)現(xiàn)企業(yè)威脅情報(bào)計(jì)劃對(duì)威脅情報(bào)進(jìn)行全生命周期的管理。威脅情報(bào)的生命周期包括：威脅情報(bào)需求分析、收集、分析、使用。

考慮到信息交換格式和工具仍然是網(wǎng)絡(luò)安全圈（尤其是事件響應(yīng)者）的主要關(guān)注事項(xiàng)，ENISA 分析了現(xiàn)有 TIP 平臺(tái)和解決方案的局限性及一些關(guān)鍵機(jī)會(huì)。下圖為現(xiàn)有的 TIP 解決方案：

隨著信息安全管理日益成為每家現(xiàn)代企業(yè)的關(guān)鍵組成部分，態(tài)勢感知和安全數(shù)據(jù)的需求在不斷增長。ENISA 邀請(qǐng)了專家對(duì)現(xiàn)有工具、實(shí)踐和 TIP 學(xué)術(shù)文獻(xiàn)進(jìn)行研究分析得出這份報(bào)告，并提出了一系列切實(shí)可行的建議，以幫助組織機(jī)構(gòu)等解決并克服現(xiàn)有的 TIP局限性。

此外，報(bào)告還詳細(xì)介紹了這些平臺(tái)的用戶、TIP 的主要功能以及全球不同團(tuán)隊(duì)（例如 CTI 團(tuán)隊(duì)、安全運(yùn)維中心 SOC、計(jì)算機(jī)安全事件響應(yīng)小組 CSIRT/CERT、信息共享與分析中心 ISAC 等）所使用的 TIP 現(xiàn)狀。

ENISA 提供的建議：

ENISA 建議組織機(jī)構(gòu)在開發(fā)和部署 TIP 解決方案之前將重點(diǎn)放在具體要求和需求上。ENISA 還強(qiáng)烈建議組織機(jī)構(gòu)檢查其擔(dān)任的不同網(wǎng)絡(luò)情報(bào)活動(dòng)是否由技術(shù)平臺(tái)和系統(tǒng)提供支持。

報(bào)告中還鼓勵(lì)組織機(jī)構(gòu)在重大資金投入之前，先投入時(shí)間通過開源 TIP 進(jìn)行PoC 測試，并了解此類系統(tǒng)的優(yōu)勢。ENISA 鼓勵(lì) TIP 解決方案的開發(fā)人員提供有效的威脅分類和相關(guān)性評(píng)估，將重點(diǎn)更多地放在提升 TIP 分析能力上。此外，報(bào)告指出 TIP 應(yīng)具有更加靈活可用的信任建模功能，鼓勵(lì) TIP 開發(fā)人員和提供商向威脅信息消費(fèi)者提供通知功能，以防信息來源提供的共享信息不夠準(zhǔn)確，或缺乏可信度。

ENISA 呼吁研究界和學(xué)術(shù)界繼續(xù)探索 TIP 的優(yōu)勢，以及這些平臺(tái)進(jìn)一步趨于成熟的方式。

下圖為理想的 TIP 模式：