ISO 27001 近期改版,將控制措施由舊版14個控制領域整合成4大類別,包含組織控制(Organization Controls)、人員控制(People Controls)、實體控制(Physical Controls)、技術控制(Technological Controls)。此外,部分條款有額外新增要求、調整用語等。本文特針對 ISO 27001: 2022 版本中,「組織控制」類別之「A.5.7 Threat intelligence 威脅情資」進行簡介,以期協助企業、組織提升資訊安全管理品質。
威脅情資(threat intelligence)指的是與網路攻擊相關的資訊,經由專業團隊收集、轉換、分析、解釋等處理過程,提供資安決策過程所需要的基礎。
ISO 27001: 2022 之「A.5.7 Threat intelligence」控制措施建議企業與組織應收集、分析資訊安全威脅相關之資訊,以產生威脅情資,並確定企業將可能面臨哪些威脅,與進一步採取防禦措施。
為了遵守此項要求,企業與組織應執行下列事項:
- 定期檢查企業所處的威脅環境(藉由查看政府機構和其他組織的報告達成)。
- 應確定威脅來源(如:內部人員、競爭對手、犯罪者、恐怖組織)。
- 根據當前事件和過去的事件,確定可能的新型攻擊面向和趨勢。
- 建立有助於減輕企業組織的資訊安全威脅之防禦措施。
進一步,企業與組織也應考慮3個層級的威脅情資,以妥善掌握攻擊者的攻擊手法。3個層級的威脅情資為:
- 戰略型威脅情資(Strategic Threat Intelligence):無技術細節,由 CXO 層級使用;用於辨別誰會想攻擊? 為何想攻擊?
- 實戰型威脅情資(Operational Threat Intelligence):需要技術背景,由SOC 主管、分析研究員等使用;用於理解攻擊者的TTP (戰術 Tactics 、技術 Techniques、流程 Procedures)
- 戰術型威脅情資(Tactical Threat Intelligence):需要技術背景,通常是 SOC 人員使用;以入侵指標(indicator of compromise, IoC),監看特定攻擊事件
企業與組織可以自行生成自己的威脅情資。但通常,善用他人提供的威脅情資是更好的選擇。
企業與組織導入他人已經分析淬鍊的威脅情資,可以節省時間、金錢與人力投入,更可廣泛地掌握其面臨的資安威脅,避免藏在暗處的駭客攻擊團隊與尚未獲得大眾關注的高深攻擊手法。
國際的威脅情資來源,例如美國非營利組織 MITRE 營運的 CVE 平台,其提供系統漏洞資訊與緩解措施;臺灣的威脅情資來源,例如台灣電腦網路危機處理暨協調中心,是國家級進行情資蒐集、整理與分享的單位。
企業與組織也可採納第三方供應商提供的威脅情資。TeamT5 杜浦數位安全即為提供亞太地區威脅情資的領導品牌。
TeamT5 杜浦數位安全成立於台灣,善用地理和文化優勢,研究並發布威脅情資報告。威脅情資類別涵蓋戰略型、實戰型與戰術型內容,利於資安團隊預見潛在的威脅和事件,並為決策者提供行動指引,進一步做出準確的資安防禦決策並降低風險。內容則涵蓋漏洞分析、進階持續性攻擊、勒索軟體等常見的資安威脅。
更了解 TeamT5 杜浦數位安全的威脅情資內容與解決方案: ThreatVision
Related Post
ThreatVision 深度介紹
2024.01.01
威脅情資平台(TIP)評估與採購重點
cyber threat intelligence
ThreatVision 深度介紹
2022.05.22
什麼是威脅情資? 對企業的重要性是什麼?
cyber threat intelligence, threat hunting