一、网络威胁情报共享存在巨大障碍
INSA指出,目前众多组织依靠威胁情报来预测网络威胁,一般通过文本流、电子邮件、即时通讯等方式分享情报,仅过半机构使用自动化工具来接收和分享威胁情报。然而网络威胁情报发挥效用的障碍主要有不熟悉情报共享站点、情报分享速度过慢、缺乏信息共享文化。因此,INSA提出一个清晰的框架,便于处理预警情报和协调响应行动。
二、引进“指标预警情报”模式
美国国防部出版物《联合作战情报》(JP 2-0)曾正式定义“指标预警情报”(I&W intelligence)的术语,将其列为情报产品的7大类别之一。2013年修订的JP2-0则用“预警情报”(warning intelligence)替换了这一术语,其含义为“探测和报告具有时间敏感性的外国动向,对其中的敌对性行动和意图发出预警”的情报活动。
该定义并没有专门针对网络空间危害性活动,而国防部在另一份出版物JP3-12R指出了将“指标预警”(I&W)引进网络空间的必要性,但也没有明确定义如何在网络空间进行预警情报活动。故而INSA提出“网络空间指标预警框架”。
三、7步骤开展网络空间指标预警
INSA提出了制定和实施“指标预警计划”的7个步骤:(1)识别哪些数据、人员、设备、系统和设施对于实现组织目标而言是最关键的;(2)缩小威胁源的范围,通常缩减为最具威胁的10-15个威胁者;(3)评估威胁者的行动过程(courses of action,COA),以便检测对手网络攻击行动的开始及实施阶段,其中的行动过程就相当于网络攻击场景(scenarios);(4)将网络攻击场景分解为多个“指标”,“指标”应当能够用于指征网络攻击正在发生;(5)制定反制措施计划,明确在某项网络攻击行动过程的每阶段如何应对;(6)为每一个“指标”制定“情报收集-处理-分析-传递-反馈”循环计划(intelligence cycle);(7)根据情报信息实施反制措施。
四、5条建议提高网络指标预警能力
INSA发现政府、企业和研究机构无法有效开展网络空间指标预警活动的原因主要有:缺少具备网络安全和情报分析技能的人才、匮乏财政资源支持、没有通用性的指导框架,。为此,INSA提出5条建议,有助建立主动网络防御:(1)采用INSA的“指标预警框架”;(2)建立人才输送渠道,制定人才保障计划;(3)提升网络威胁意识和网络防御能力;(4)在“最佳实践”方面成立信息分享组织;(5)定期开展演练,总结经验教训。
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院官网。
更多精彩内容请关注“赛博研究院”公众号。